Security Blog di Feliciano Intini : 2.2-Windows Vista Security

Nuovi video seminari Technet Spotlight sulla sicurezza

Feliciano Intini — Mon, 04 Aug 2008 13:53:28 GMT

Sia che siate in vacanza, sia che siate ancora/già al lavoro, probabilmente in questo periodo avrete un po' di tempo libero in più del solito. Il mio personale invito è sicuramente quello di usarlo per ritemprarvi nel corpo e nello spirito,...(read more)

Le vulnerabilità DNS come l'asteroide di Armageddon

Feliciano Intini — Fri, 11 Jul 2008 15:10:57 GMT

Vi confesso che il lavoro segreto di collaborazione (di cui ho appena parlato nel mio freschissimo post su MClips: " Una svolta nella security cooperation: le vulnerabilità DNS uniscono i vendor nella difesa di Internet ") che ha coinvolto...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - luglio 2008

Feliciano Intini — Wed, 09 Jul 2008 11:53:40 GMT

Rieccoci al consueto appuntamento di analisi dei bollettini di sicurezza Microsoft: come già anticipato venerdì scorso , questo mese vede l'emissione di 4 bollettini , tutti con rating Important , che risolvono un totale di 9 vulnerabilità...(read more)

Adobe Reader 9: più sicuro o meno sicuro delle versioni precedenti?

Feliciano Intini — Fri, 04 Jul 2008 14:20:52 GMT

... lascio a voi dare una risposta, dopo aver letto i due post che vi propongo di seguito. Il primo è quello del mio collega Robert Hensing , che ha verificato come la versione di Adobe Reader 9 abbia finalmente incluso il supporto (su Windows Vista...(read more)

4 bollettini di sicurezza Microsoft in arrivo per luglio 2008

Feliciano Intini — Fri, 04 Jul 2008 09:01:34 GMT

Approccio per così dire... semi-estivo... al rilascio dei bollettini di sicurezza Microsoft previsti per il prossimo 8 luglio: sono attesi solo 4 bollettini e solo con rating Important , come potete osservare dalla tabella di sintesi Maggiori dettagli...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - giugno 2008

Feliciano Intini — Fri, 13 Jun 2008 10:30:50 GMT

Lo so, lo so... vi stavate domandando dove fossi finito e cosa fosse successo di tanto importante da impedirmi di postare la consueta analisi di rischio sui bollettini di sicurezza Microsoft durante la classica notte del secondo martedì del mese....(read more)

Rilasciata la versione definitiva del Security Compliance Management toolkit

Feliciano Intini — Sun, 08 Jun 2008 16:53:07 GMT

Vi segnalo il rilascio definitivo della soluzione gratuita dei " Solution Accelerators ": Security Compliance Management toolkit di cui vi avevo parlato in questo mio post al lancio della versione beta. Share this post : ...(read more)

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

Feliciano Intini — Fri, 06 Jun 2008 18:20:54 GMT

Riesco a stento a trattenere il mio disappunto: questa notizia di cui sto per raccontarvi sembra l'epilogo perfetto della mia rubrica Anti-FUD , un vero e proprio capolavoro di dinformazione informatica sul tema sicurezza... e come tale non dovete perderla!...(read more)

7 bollettini di sicurezza Microsoft in arrivo per giugno 2008

Feliciano Intini — Fri, 06 Jun 2008 12:02:36 GMT

Ecco la puntuale anticipazione sui bollettini di sicurezza Microsoft per il mese di giugno, questa volta tutti dedicati alla famiglia Windows (lo so che vi viene facile una battuta: che il team di Office sia andato in vacanza?... :-)), in particolare...(read more)

Security Advisory 953818 correlato al problema "carpet bomb" di Safari

Feliciano Intini — Tue, 03 Jun 2008 10:56:38 GMT

Comincio a pensare che i miei colleghi del MSRC in Corp (... noi usiamo dire così per riferirci alla Microsoft di Redmond, che è appunto la CORPoration) utilizzino l'Office Communicator (il nostro instant messenger interno) come rilevatore di presenza per decidere quando pubblicare i security advisory... :-(

Vabbè... fatto sta che proprio all'inizio di questo weekend lungo per l'Italia, Microsoft ha emesso il "Microsoft Security Advisory (953818) - Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform" per segnalare che esiste una possibile minaccia di attacco per gli utenti di Windows (in particolare di tutte le versioni supportate di Windows XP e Windows Vista) che usano il browser Safari di Apple per la navigazione Internet.

Come riporta l'advisory, l'attacco è reso possibile dalla combinazione di due problemi (da qui il nome di "Blended Threat"), la modalità con cui Safari gestisce il download di contenuti sul file system e quella con cui Windows gestisce i file eseguibili sul Desktop: questa situazione congiunta permetterebbe di scaricare file sul Desktop di Windows ed eseguirli all'insaputa dell'utente nel suo contesto di sicurezza (quindi con i suoi privilegi - che le best practice raccomandano essere sempre i più limitati possibile...)

Vi faccio notare che ho scritto "problemi" e non "vulnerabilità" non a caso: il problema di Safari a cui fa riferimento questo advisory è quello denominato "Carpet Bombing" che è al centro di una piccola bufera, e che merita qualche riflessione di merito: Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Diversamente dall'approccio di Apple che potete leggere al post appena citato, Microsoft ha riconosciuto la necessità di approfondire la problematica dal suo lato (per accertare eventuali vulnerabilità su Windows e determinarne l'impatto) e di avvisare subito gli utenti del possibile rischio (e del possibile workaround) di questo attacco combinato: da qui la pubblicazione di questo advisory.

Aggiornamento del 2/07/2008: Apple ha aggiornato Safari alla versione 3.1.2 e documentato i relativi aspetti di sicurezza in questo suo security advisory.

Share this post :

Whitepaper di confronto tra Windows XP SP3 (ora si può ordinare il CD) e Windows Vista SP1

Feliciano Intini — Mon, 26 May 2008 09:50:34 GMT

Uno dei lati più interessanti dell'essere dipendente Microsoft è quello di non poter facilmente scindere la tua vita privata da quella professionale, nel senso che quando parenti, amici e semplici conoscenti apprendono che lavori nell'azienda ("...sì, quella lì, quella di Windows e di Bill Gates, hai presente l'uomo (che era) l'uomo più ricco del mondo??"... solo così a volte si riesce a far capire la "maicrosoft" ai non addetti ai lavori... come faremo ora che Bill si ritira??) si sentono autorizzati a 1) chiederti informazioni di supporto su tutto l'universo Microsoft (dico tutto! Flight Simulator non esclusooo!), 2) stuzzicarti sulle notizie più piccanti che sentono al tiggì o leggono sul giornale (ora il tira e molla con Yahoo, un tempo erano le multe dell'EU...). Vi dirò, alla fine vivo tutto questo con divertimento e piacere, con estrema disponibilità e pazienza (anzi direi proprio con "spirito di servizio".. :-)...) fino a quando incrocio persone che, con arroganza, pretendono di sapere tutto loro solo perché provano a smanettare qualche mezz'ora a settimana con il PC a casa, oppure quelli che si fidano ciecamente di quello "sentono in giro" o che leggono sui forum...

L'ultima in tal senso è di un conoscente che mi chiedeva lumi sulla configurazione hardware da adottare per il suo nuovo PC: avendo lui scelto di optare per Windows, davo per scontato che adottasse Windows Vista; quando è venuto fuori che intendeva installare Windows XP, gli ho chiesto "perché non Windows Vista??". Risposta: "... ho sentito dire che non va proprio bene... e così ... e colà...(con considerazioni inconcludenti)". E io. "... sì , ok, ma tu l'hai provato?". "No, in realtà no...".

Ecco i risultati del FUD: ormai c'è tanta di quella disinformazione in giro che vuole dare addosso a Windows Vista, che la percezione comune dell'utente non tecnico è necessariamente influenzata a senso unico... vede solo i problemi (per sentito dire) e neanche immagina i vantaggi che innegabilmente derivano da una versione nuova!

Al riguardo ho letto con piacere e condivido le considerazioni di Enrico Giordani che nel suo ultimo post "Congedo?" del blog dal titolo "I miei guai con Vista" (significativo, no?) fa un importante consuntivo della sua esperienza, di fatto ricredendosi.

Forse è anche per questo che Microsoft ha pubblicato di recente un whitepaper di confronto delle funzionalità tra Windows Vista SP1 e Windows XP SP3: non fa male iniziare a guardare side-by-side cosa si stanno perdendo coloro che rimangono legati a XP... soprattutto in ambito sicurezza!

P.S.: Approfitto dell'occasione per segnalarvi (era una richiesta di un mio lettore in un post recente) della possibilità di ordinare il CD con il Service Pack 3 di Windows XP per coloro che non avessero la possibilità di scaricarlo da Internet.

Share this post :

I numeri sulle vulnerabilità di Windows Vista? Ottimi ma noiosi... parliamo invece di Apple

Feliciano Intini — Mon, 19 May 2008 16:11:05 GMT

Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato sul primo trimestre del 2008 e i numeri danno ancora ragione inequivocabile alle considerazioni che ho più volte espresso a favore dell'efficacia del Microsoft Security Development Lifecycle (SDL), e su come i benefici di questo processo si stiano riflettendo sui risultati di Windows Vista rispetto a tutti: Windows Vista rimane il sistema operativo con meno vulnerabilità sia rispetto a Windows XP SP2 che rispetto agli altri sistemi operativi (notate che non ho detto "più sicuro", non mancate di leggere l'appendice A in cui Jones spiega l'interpretazione dei dati):

(Ricordo che la fonte dati è il National Vulnerability Database (NVD) curato dal National Institute of Standards (NIST) utilizzando il Common Vulnerability Scoring System Version 2 (CVSSv2) come metodo di rating delle vulnerabilità).

Non ci crederete, ma quando venerdì ho letto questo post e le relative tabelle mi sono chiesto per la prima volta... e ora? Cosa c'è di nuovo e interessante da segnalare all'attenzione dei miei lettori? Possibile che questi grandiosi risultati in area sicurezza da parte di Microsoft siano quasi quasi diventati noiosi??? Incredibile... eppure sembra proprio così...

Un aspetto su cui vorrei stuzzicarvi però c'è: riguardando la tabella che mostra meglio il confronto delle vulnerabilità critiche...

...mi è saltata all'occhio la "stranezza" della colonnina di Mac OS X 10.5 superiore a quella di Mac OS X 10.4, ed entrambe superiori a quelle degli altri OS... secondo voi come si spiega? Forse che vale quanto detto nel mio post e ribadito in questo articolo Zero Day a proposito del famoso CanSecWest: "...vulnerabilities follows success..."??? Che riflessioni vengono da fare sui processi di revisione del codice da parte di Apple? A voi la parola...

Share this post :

Rilasciato il Microsoft Baseline Security Analyzer 2.1

Feliciano Intini — Fri, 16 May 2008 10:27:05 GMT

L'amicollega (ho coniato un neologismo!) Andrea Piazza del mio security team Microsoft Premier Center for Security (PCfS) mi ha segnalato un rilascio importante per gli amministratori di sicurezza su piattaforma Microsoft:

il tool Microsoft Baseline Security Analyzer 2.1

Per coloro che ancora non conoscessero MBSA: è il tool gratuito che permette di operare la scansione remota/locale dei sistemi Windows per individuare le security patch mancanti e per verificare lo stato di alcune importanti configurazioni di sicurezza. Il tool si è evoluto nel tempo migliorando via via la sua integrazione con la contemporanea evoluzione delle soluzioni e dei servizi di Security Patch Management di Microsoft. L'ultima versione rilasciata ha queste novità:

Support for Windows Vista and Windows Server 2008
Updated graphical user interface
Full support for 64-bit platforms and vulnerability assessment (VA) checks against 64-bit platforms and components
Improved support for Windows XP Embedded platform
Improved support for SQL Server 2005 vulnerability assessment (VA) checks
Automatic Microsoft Update registration and agent update (if selected) using the graphical interface or from the command-line tool using the /ia feature
New feature to output completed scan reports to a user-selected directory path or network share (command-line /rd feature)
Windows Server Update Services 2.0 and 3.0 compatibility

Approfittando del ripasso su MBSA ho anche appreso della presenza di una versione gratuita del tool NetChk Limited della Shavlik (MBSA è nato dalla collaborazione con la Shavlik) che permette di operare la scansione di quei prodotti Microsoft che non sono supportati da MBSA 2.0 e successive versioni: segnatevi questo fondamentale articolo 895660 della Microsoft Knowledge Base dove c'è la tabella comparativa dei prodotti supportarti dalla varie versioni MBSA e dal tool integrativo EST (è una tabella da tenere sempre a portata di mano per chi si occupa di Security Patch Management). I prodotti supportati da NetChk Limited sono a questo link.

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

Feliciano Intini — Tue, 13 May 2008 20:12:08 GMT

Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:

MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028).
MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :

Windows 2000 più sicuro di Vista? La matematica non è un'opinione...

Feliciano Intini — Mon, 12 May 2008 10:23:33 GMT

La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per non essere ripresa da un discreto numero di testate... visto che si poteva mettere in cattiva luce la sicurezza di Vista!

In sintesi: Simon Clausen, il CEO di PC Tools, ha commentato le statistiche di disinfezione del loro strumento anti-malware ThreatFire

"Ironically, the new operating system has been hailed by Microsoft as the most secure version of Windows to date, however, recent research conducted with statistics from over 1.4 million computers within the ThreatFire community has shown that Windows Vista is more susceptible to malware than the eight year old Windows 2000 operating system, and only 37% more secure than Windows XP."

E' un tema che questo mio blog dibatte spesso e volentieri: come si fa a dedurre considerazioni generali sulla sicurezza di un sistema operativo da queste metriche parziali (e spesso opinabili)? Con tutto il rispetto per PC Tools e per i suoi prodotti/servizi di sicurezza, è triste notare come il CEO di un'azienda di rilievo nel panorama informatico si presti a questi atteggiamenti di propaganda: avrei voglia di chiedere a Mr. Clausen, ma lei ci è o ci fa? Se crede davvero a quello che ha detto forse è meglio che si occupi di altro rispetto alla sicurezza, se invece (come credo) ha pensato utile metterla in quel modo per strategia marketing (il fatto che grazie a questa notizia si sia ottenuta pubblicità gratuita ai servizi di sicurezza di PC Tools, non è un risultato da poco...) beh allora... siamo alla frutta!

Questi risultati vanno presi come sono: indicazioni statistiche che possono mostrare dei trend, se l'analisi dei dati viene fatta in modo serio. Qualcuno infatti ha poi recuperato i dati del recente Microsoft Security Intelligence Report trovando addirittura parziale conferma alle affermazioni di PC Tools, dicendo che "...Windows 2000 è ancora più sicuro di un sistema con XP..." !!!

E qui, dopo aver contestato il metodo (induttivo, che usa questa equivalenza: meno malware rilevato = sistema più sicuro), vengo alla contestazione sul merito dei numeri.

Confrontate voi la valenza statistica di una ricerca fatta su 1.4 milioni di PC rispetto a quella Microsoft realizzata su 450 milioni di PC ...
Chi analizza i numeri dovrebbe almeno leggere il report per intero: da un lato i numeri normalizzati riportati da Microsoft sembrano dar adito all'affermazione virgolettata (Windows 2000 meglio di Windows XP), poiché a pag.48 si legge...
Windows Vista = 2,8%
Windows XP SP2 = 7,2%
Windows 2000 SP4 = 5,0%
Windows 2003 SP2 = 1,5%
... ma giusto nella pagina seguente (pag.49) si legge: "The infection rate of Windows 2000 SP4, which includes both server and client editions, falls between the infection rates of the pure server version (Windows Server 2003 SP2) and the client version (Windows XP SP2). Servers are typically accessed directly only by trained system administrators in controlled enterprise environments, so their effective attack surface tends to be much lower than computers running client operating systems".

Ritenete che siano dati confrontabili? Ha senso sparare notizie sensazionalistiche se non si analizzano i dati?

Quanta superficialità sta emergendo nell'informazione... :-((((

Share this post :