Security Blog di Feliciano Intini : 2.1.1 Security Bulletin Risk Analysis

Security Advisory 956187 sulla vulnerabilità DNS: l'exploit è pubblico, affrettarsi all'aggiornamento!

Feliciano Intini — Mon, 28 Jul 2008 08:43:12 GMT

La situazione si fa calda: da alcuni giorni abbiamo letto di come siano stati diffusi i dettagli della vulnerabilità DNS prima di quanto Dan Kamisky avesse in mente di fare. Dai dettagli della vulnerabilità alla realizzazione di un exploit il...(read more)

Aggiornamenti vari a bollettini e advisory, su MS08-037 (DNS), WSUS, Apple Safari 3.1.2

Feliciano Intini — Fri, 11 Jul 2008 10:03:30 GMT

Volevo segnalarvi che sono stati effettuati in questi giorni una serie significativa di aggiornamenti alle diverse notifiche di sicurezza, ed è importante che ne siate a conoscenza: se siete interessati ai dettagli e alle evoluzioni delle singole...(read more)

Security Advisory 953635 su Microsoft Word

Feliciano Intini — Wed, 09 Jul 2008 13:03:39 GMT

E' stato pubblicato un nuovo advisory " Microsoft Security Advisory (953635) - Vulnerability in Microsoft Word Could Allow Remote Code Execution " per segnalare la fase di investigazione di una nuova vulnerabilità, per il momento apparentemente...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - luglio 2008

Feliciano Intini — Wed, 09 Jul 2008 11:53:40 GMT

Rieccoci al consueto appuntamento di analisi dei bollettini di sicurezza Microsoft: come già anticipato venerdì scorso , questo mese vede l'emissione di 4 bollettini , tutti con rating Important , che risolvono un totale di 9 vulnerabilità...(read more)

Security Advisory 955179 sull'ActiveX di "Snapshot Viewer for Microsoft Access"

Feliciano Intini — Tue, 08 Jul 2008 09:31:40 GMT

Stanotte è stato emesso il " Microsoft Security Advisory (955179) - Vulnerability in the ActiveX Control for the Snapshot Viewer for Microsoft Access Could Allow Remote Code Execution " per segnalare la conoscenza di alcuni attacchi limitati...(read more)

4 bollettini di sicurezza Microsoft in arrivo per luglio 2008

Feliciano Intini — Fri, 04 Jul 2008 09:01:34 GMT

Approccio per così dire... semi-estivo... al rilascio dei bollettini di sicurezza Microsoft previsti per il prossimo 8 luglio: sono attesi solo 4 bollettini e solo con rating Important , come potete osservare dalla tabella di sintesi Maggiori dettagli...(read more)

Vulnerabilità critica in Adobe Reader e Acrobat 8.1.2: aggiornateli appena possibile, manualmente...

Feliciano Intini — Tue, 24 Jun 2008 13:12:49 GMT

Sono sempre stato restio ad usare il mio security blog, dichiaratamente focalizzato sulla piattaforma Microsoft, per avvisarvi di vulnerabilità critiche di altri vendor. Il motivo di fondo è semplice ed è sicuramente chiaro a chi mi legge...(read more)

Corretto il problema di SCCM 2007... tra un goal e l'altro di Italia-Francia (2-0)

Feliciano Intini — Wed, 18 Jun 2008 09:03:21 GMT

Mi scuserete se vi avviso solo stamattina dell'avvenuta correzione del problema di System Center Configuration Manager 2007 che impediva la corretta gestione degli aggiornamenti verso i sistemi client SMS 2003 , di cui vi avevo detto nel post precedente...(read more)

Security Advisory 954474 su SCCM 2007, poco security e molto advisory

Feliciano Intini — Sat, 14 Jun 2008 18:56:18 GMT

E' la prima volta che assisto all'emissione di un Security Advisory, per così dire... poco security e molto advisory... :-)... ma apprezzo l'iniziativa, dal momento che esprime un atteggiamento di attenzione e sollecitudine nei confronti delle necessità...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - giugno 2008

Feliciano Intini — Fri, 13 Jun 2008 10:30:50 GMT

Lo so, lo so... vi stavate domandando dove fossi finito e cosa fosse successo di tanto importante da impedirmi di postare la consueta analisi di rischio sui bollettini di sicurezza Microsoft durante la classica notte del secondo martedì del mese....(read more)

7 bollettini di sicurezza Microsoft in arrivo per giugno 2008

Feliciano Intini — Fri, 06 Jun 2008 12:02:36 GMT

Ecco la puntuale anticipazione sui bollettini di sicurezza Microsoft per il mese di giugno, questa volta tutti dedicati alla famiglia Windows (lo so che vi viene facile una battuta: che il team di Office sia andato in vacanza?... :-)), in particolare...(read more)

Security Advisory 953818 correlato al problema "carpet bomb" di Safari

Feliciano Intini — Tue, 03 Jun 2008 10:56:38 GMT

Comincio a pensare che i miei colleghi del MSRC in Corp (... noi usiamo dire così per riferirci alla Microsoft di Redmond, che è appunto la CORPoration) utilizzino l'Office Communicator (il nostro instant messenger interno) come rilevatore di presenza per decidere quando pubblicare i security advisory... :-(

Vabbè... fatto sta che proprio all'inizio di questo weekend lungo per l'Italia, Microsoft ha emesso il "Microsoft Security Advisory (953818) - Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform" per segnalare che esiste una possibile minaccia di attacco per gli utenti di Windows (in particolare di tutte le versioni supportate di Windows XP e Windows Vista) che usano il browser Safari di Apple per la navigazione Internet.

Come riporta l'advisory, l'attacco è reso possibile dalla combinazione di due problemi (da qui il nome di "Blended Threat"), la modalità con cui Safari gestisce il download di contenuti sul file system e quella con cui Windows gestisce i file eseguibili sul Desktop: questa situazione congiunta permetterebbe di scaricare file sul Desktop di Windows ed eseguirli all'insaputa dell'utente nel suo contesto di sicurezza (quindi con i suoi privilegi - che le best practice raccomandano essere sempre i più limitati possibile...)

Vi faccio notare che ho scritto "problemi" e non "vulnerabilità" non a caso: il problema di Safari a cui fa riferimento questo advisory è quello denominato "Carpet Bombing" che è al centro di una piccola bufera, e che merita qualche riflessione di merito: Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Diversamente dall'approccio di Apple che potete leggere al post appena citato, Microsoft ha riconosciuto la necessità di approfondire la problematica dal suo lato (per accertare eventuali vulnerabilità su Windows e determinarne l'impatto) e di avvisare subito gli utenti del possibile rischio (e del possibile workaround) di questo attacco combinato: da qui la pubblicazione di questo advisory.

Aggiornamento del 2/07/2008: Apple ha aggiornato Safari alla versione 3.1.2 e documentato i relativi aspetti di sicurezza in questo suo security advisory.

Share this post :

I numeri sulle vulnerabilità di Windows Vista? Ottimi ma noiosi... parliamo invece di Apple

Feliciano Intini — Mon, 19 May 2008 16:11:05 GMT

Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato sul primo trimestre del 2008 e i numeri danno ancora ragione inequivocabile alle considerazioni che ho più volte espresso a favore dell'efficacia del Microsoft Security Development Lifecycle (SDL), e su come i benefici di questo processo si stiano riflettendo sui risultati di Windows Vista rispetto a tutti: Windows Vista rimane il sistema operativo con meno vulnerabilità sia rispetto a Windows XP SP2 che rispetto agli altri sistemi operativi (notate che non ho detto "più sicuro", non mancate di leggere l'appendice A in cui Jones spiega l'interpretazione dei dati):

(Ricordo che la fonte dati è il National Vulnerability Database (NVD) curato dal National Institute of Standards (NIST) utilizzando il Common Vulnerability Scoring System Version 2 (CVSSv2) come metodo di rating delle vulnerabilità).

Non ci crederete, ma quando venerdì ho letto questo post e le relative tabelle mi sono chiesto per la prima volta... e ora? Cosa c'è di nuovo e interessante da segnalare all'attenzione dei miei lettori? Possibile che questi grandiosi risultati in area sicurezza da parte di Microsoft siano quasi quasi diventati noiosi??? Incredibile... eppure sembra proprio così...

Un aspetto su cui vorrei stuzzicarvi però c'è: riguardando la tabella che mostra meglio il confronto delle vulnerabilità critiche...

...mi è saltata all'occhio la "stranezza" della colonnina di Mac OS X 10.5 superiore a quella di Mac OS X 10.4, ed entrambe superiori a quelle degli altri OS... secondo voi come si spiega? Forse che vale quanto detto nel mio post e ribadito in questo articolo Zero Day a proposito del famoso CanSecWest: "...vulnerabilities follows success..."??? Che riflessioni vengono da fare sui processi di revisione del codice da parte di Apple? A voi la parola...

Share this post :

Rilasciato il Microsoft Baseline Security Analyzer 2.1

Feliciano Intini — Fri, 16 May 2008 10:27:05 GMT

L'amicollega (ho coniato un neologismo!) Andrea Piazza del mio security team Microsoft Premier Center for Security (PCfS) mi ha segnalato un rilascio importante per gli amministratori di sicurezza su piattaforma Microsoft:

il tool Microsoft Baseline Security Analyzer 2.1

Per coloro che ancora non conoscessero MBSA: è il tool gratuito che permette di operare la scansione remota/locale dei sistemi Windows per individuare le security patch mancanti e per verificare lo stato di alcune importanti configurazioni di sicurezza. Il tool si è evoluto nel tempo migliorando via via la sua integrazione con la contemporanea evoluzione delle soluzioni e dei servizi di Security Patch Management di Microsoft. L'ultima versione rilasciata ha queste novità:

Support for Windows Vista and Windows Server 2008
Updated graphical user interface
Full support for 64-bit platforms and vulnerability assessment (VA) checks against 64-bit platforms and components
Improved support for Windows XP Embedded platform
Improved support for SQL Server 2005 vulnerability assessment (VA) checks
Automatic Microsoft Update registration and agent update (if selected) using the graphical interface or from the command-line tool using the /ia feature
New feature to output completed scan reports to a user-selected directory path or network share (command-line /rd feature)
Windows Server Update Services 2.0 and 3.0 compatibility

Approfittando del ripasso su MBSA ho anche appreso della presenza di una versione gratuita del tool NetChk Limited della Shavlik (MBSA è nato dalla collaborazione con la Shavlik) che permette di operare la scansione di quei prodotti Microsoft che non sono supportati da MBSA 2.0 e successive versioni: segnatevi questo fondamentale articolo 895660 della Microsoft Knowledge Base dove c'è la tabella comparativa dei prodotti supportarti dalla varie versioni MBSA e dal tool integrativo EST (è una tabella da tenere sempre a portata di mano per chi si occupa di Security Patch Management). I prodotti supportati da NetChk Limited sono a questo link.

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

Feliciano Intini — Tue, 13 May 2008 20:12:08 GMT

Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:

MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028).
MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :