Alessandro Del Rosso

Sicurezza, il caldo settembre di Microsoft

Cinque bollettini di sicurezza, tutti critici, e un advisory nel quale si conferma l'esistenza di una vulnerabilitÓ zero-day. Salva la versione finale di Seven, problemi per le release candidate e Vista

Roma - Nella tarda serata di ieri Microsoft ha pubblicato cinque bollettini di sicurezza, tutti classificati con il massimo grado di rischio e tutti relativi a vulnerabilità che, almeno potenzialmente, potrebbero essere sfruttate da malintenzionati per eseguire del codice a distanza. BigM ha anche pubblicato un advisory in cui prende atto dell'esistenza di una vulnerabilità zero-day in Windows Vista.

Come previsto, la recente vulnerabilità zero-day nel servizio FTP di Internet Information Services rimane aperta: Microsoft sta ancora testando la relativa patch, che conta di distribuire non appena possibile out-of-band, ossia fuori dal suo tradizionale ciclo mensile. Nel frattempo il big di Redmond invita i propri utenti a consultare questo advisory, dove fornisce alcune soluzioni temporanee al problema.

Tutte le vulnerabilità descritte nei nuovi bollettini di sicurezza riguardano versioni di Windows precedenti alla 7, e sono causate da bug contenuti nel motore JScript (MS09-045), nel Wireless LAN AutoConfig Service (MS09-049), nel formato Windows Media (MS09-047), nell'implementazione del protocollo TCP/IP (MS09-048) e nel controllo ActiveX DHTML Editing Component (MS09-046).
Sul blog del Microsoft Security Response Center (MSRC) si evidenzia come le debolezze contemplate nei bollettini MS09-045, MS09-046 e MS09-047 possano essere sfruttate inducendo un utente a visitare una pagina web maligna, mentre quelle corrette nei bollettini MS09-048 e MS09-049 sono potenzialmente innescabili da attacchi diretti via rete tesi ad eseguire del codice a distanza o creare condizioni di denial of service.



Microsoft ritiene che le patch da applicare con più urgenza siano quelle relative alle vulnerabilità del motore JScript e del formato Windows Media: in entrambi i casi la probabilità che i cracker riescano a sfruttare queste falle è assai elevata. Gli scenari di attacco sono piuttosto classici: una pagina web contenente uno script maligno o un file Windows Media appositamente creato per innescare il bug ed eseguire del codice con gli stessi privilegi dell'utente locale. Le versioni di Windows interessate sono tutte quelle attualmente supportate (tranne Seven).

La seconda falla più urgente è quella legata al controllo ActiveX DHTML Editing Component, che Microsoft afferma non essere in alcun modo legata a quella dell'Active Template Library. In questo caso gli utenti a rischio sono quelli di Windows 2000, XP e Server 2003.

Il problema relativo al servizio di autoconfigurazione del Wireless riguarda invece Windows Vista e Windows Server 2008 e, sebbene potenzialmente serio, Microsoft sostiene sia piuttosto difficile da sfruttare per via delle protezioni contenute nei suoi più recenti sistemi operativi.

Delle tre vulnerabilità relative allo stack TCP/IP, una interessa Windows Vista e Windows Server 2008 e potrebbe essere sfruttata per eseguire codice in modalità remota. Le altre due falle possono essere utilizzate per lanciare attacchi di denial of service contro sistemi su cui giri Windows 2000: in questo caso Microsoft afferma che, a causa dell'architettura stessa del componente TCP/IP di Windows 2000, non è possibile risolvere il problema mediante un semplice aggiornamento. Per tale ragione BigM invita i clienti che non posso migrare ad una versione più recente di Windows Server di configurare attentamente il proprio firewall.

Il blog sulla sicurezza Threatpost spiega che le patch relative al TCP/IP appena rilasciate da Microsoft e da Cisco risolvono alcuni problemi scoperti circa un anno fa in molte implementazioni del celebre protocollo di Internet.

Microsoft ha infine aggiornato il bollettino MS09-037 relativo alla famosa e già citata vulnerabilità Active Template Library (ATL). Il motivo dell'update è da ricercare nella scoperta di una falla correlata a quella ATL e contenuta in un altro controllo ActiveX contenuto in Windows XP Media Center 2005 e in Windows Vista.

Una tabella sinottica dei bollettini di settembre è stata pubblicata qui dall'Internet Storm Center.

Security Advisory 975497
Nella giornata di ieri Microsoft ha anche pubblicato un advisory di sicurezza che conferma l'esistenza di una vulnerabilità zero-day legata al protocollo SMB 2.0 in alcune recenti versioni di Windows. A differenza di quanto riportato dallo scopritore della falla, l'esperto di sicurezza Laurent Gaffié, Microsoft afferma che il problema interessa esclusivamente Windows Vista, Windows Server 2008 e Windows 7 RC, ma non la versione finale (RTM) di Seven.

BigM ha criticato Gaffié per aver "irresponsabilmente" divulgato i dettagli della falla prima che questa venisse corretta. Sebbene il ricercatore abbia anche pubblicato un exploit proof of concept, Microsoft afferma che al momento non è al corrente di attacchi che sfruttino la debolezza.

Il problema è causato da un bug nell'implementazione del protocollo System Message Block (SMB) Version 2, che si trova esclusivamente in Vista, Seven e Server 2008. La precedente versione di SMB alla base di XP e 2000 non è vulnerabile.

The Inquirer sostiene che quello appena corretto sia lo stesso bug che Microsoft corresse anni or sono in Windows 2000 e XP, e che per qualche ragione ha poi re-intrdotto in Vista. La debolezza può essere sfruttata inviando dei pacchetti malformati verso la porta 445 di un sistema vulnerabile e innescando un cosiddetto Blue Screen of Death, ossia un errore irreversibile di sistema. Questo tipo di attacco, secondo Gaffié, funziona sia con la versione a 32 bit che con quella a 64 bit di Vista.

In attesa di rilasciare una patch, Microsoft suggerisce ai propri utenti di disattivare SMB e bloccare nel firewall le porte 139 e 445.

SMB è un protocollo di rete che consente a Windows di condividere file, directory e dispositivi. SMB2 è un aggiornamento del protocollo originale che, tra le altre cose, ottimizza la comunicazione tra client e server.

Alessandro Del Rosso
Notizie collegate
44 Commenti alla Notizia Sicurezza, il caldo settembre di Microsoft
Ordina
  • Questo articolo è in evidenza da tre mesi,ormai.
    Non potete metterne un altro?
    non+autenticato
  • Questo articolo è in cima alla lista da due mesi, parla di "caldo settembre" quando siamo quasi a dicembre.... forse è il caso di rimpiazzarlo?
    non+autenticato
  • Leggete che questa e' bella.
    Allora, vado su windows update e il grandioso /piece of software/ mi propone, fra gli "Aggiornamenti software facoltativi" per Microsoft Windows XP:

    "Aggiornamento dei certificati principali [settembre 2009] (KB931125)
    Dimensioni download: 312 KB , meno di 1 minuto
    Il pacchetto consente di aggiornare l'elenco dei certificati principali nel computer in uso in base a quello accettato da Microsoft nell'ambito del programma Microsoft Root Certificate. L'aggiunta di ulteriori certificati principali al computer consente l'utilizzo dei certificati di convalida estesa in Internet Explorer 7 e garantisce maggiore protezione per l'esplorazione avanzata del Web, la crittografia della posta elettronica, nonché la ricezione di codice di protezione avanzato. Al termine dell'installazione, potrebbe essere necessario riavviare il computer. Non è possibile rimuovere l'aggiornamento dopo l'installazione. Dettagli... "

    Benone (penso), magari pero' leggo ANCHE questi utilissimi dettagli prima di aggiornare senza scampo:

    "Aggiornamento dei certificati principali [settembre 2009] (KB931125)
    Data ultima pubblicazione: 22/9/2009
    Dimensioni download: 312 KB
    Il pacchetto consente di aggiornare l'elenco dei certificati principali nel computer in uso in base a quello accettato da Microsoft nell'ambito del programma Microsoft Root Certificate. L'aggiunta di ulteriori certificati principali al computer consente l'utilizzo dei certificati di convalida estesa in Internet Explorer 7 e garantisce maggiore protezione per l'esplorazione avanzata del Web, la crittografia della posta elettronica, nonché la ricezione di codice di protezione avanzato. Al termine dell'installazione, potrebbe essere necessario riavviare il computer. Non è possibile rimuovere l'aggiornamento dopo l'installazione.
    Requisiti di sistema
    CPU consigliata: Non specificato.
    Memoria consigliata: Non specificato.
    Spazio disponibile su disco consigliato: Non specificato.
    Modalità di disinstallazione
    Questo aggiornamento software può essere disinstallato selezionando Visualizza aggiornamenti installati nell'applicazione Programmi e funzionalità del Pannello di controllo.
    Guida in linea e supporto tecnico
    http://support.microsoft.com
    Ulteriori informazioni http://support.microsoft.com/kb/931125"

    Ma insomma, dopo attenta lettura, questo fantomatico "Aggiornamento dei certificati principali (KB931125)" puo' essere si' disinstallato ma rimosso invece no? E che significa, in italiano tutto cio'?
    Boh, non mi resta che cliccare sul segno di spunta "Non visualizzare più questo aggiornamento"...
    non+autenticato
  • Ciao,
    informarsi magari prima di sparare sentenze a vanvera....

    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=...

    The TCP implementation in (1) Linux, (2) platforms based on BSD Unix, (3) Microsoft Windows, (4) Cisco products, and probably other operating systems allows remote attackers to cause a denial of service .....
  • Non hai ben compreso che il bug si ripresenta in più implementazioni di stack tcp/ip.

    Quindi il bug NON è prerogativa di sistemi MS.

    Quindi...
    non+autenticato
  • Vero, ma io non ho detto, che in questo caso il bug è una prerogativa di Windows, questo lo hai dedotto tu dall'articolo.

    Lo stack tcp/ip su Windows fino ad Xp era quello derivato da BSD, infatti se noti la falla in questione su Win200 ed Xp ha una pericolosità inferiore, mentre a partire da Vista lo stack tcp/ip è stato riscritto, da qui deriva la maggiore pericolosità della falla su Vista e Windows server2008:

    http://www.microsoft.com/technet/security/Bulletin...
    -----------------------------------------------------------
    Modificato dall' autore il 11 settembre 2009 22.42
    -----------------------------------------------------------
  • Ma come fanno a imputt***re lo sviluppo del TCP/IP?
    E sopratutto, come èuò essere che su XP sia con criticità low?
    Usano un generatore random di codice o hanno commentato la riga Protect_TCPIP = True?
  • - Scritto da: Valeren
    > Ma come fanno a imputt***re lo sviluppo del
    > TCP/IP?
    > E sopratutto, come èuò essere che su XP sia con
    > criticità
    > low?
    > Usano un generatore random di codice o hanno
    > commentato la riga Protect_TCPIP =
    > True?
    Ho come l'impressione che il tuo compito (se ne hai uno) nel campo informatico sia preparare le slide delle demo e stupirti di come rispetto alla realizzazione del prodotto vero e proprio ci sia una tale differenza di temp.
    non+autenticato
  • Da bravo, riprova e controlla. La sintassi ne risente.
    Quanto al concetto: il TCP/IP non è un protocollo di recente introduzione, e che siano riusciti a creare una falla critica ( c r i t i c a ) in Vista ed in Server 2008 (http://www.microsoft.com/technet/security/Bulletin...) mentre è considerata un buffetto in XP significa due cose:
    1) hanno riscritto il codice;
    2) era meglio se non lo facevano.

    Se è troppo difficile un powerpoint te lo faccio anche.
    Dato il tuo livello tecnico metto pure i grafici a torte.
    www.dilbert.com/strips/comic/2009-03-07
    -----------------------------------------------------------
    Modificato dall' autore il 10 settembre 2009 11.14
    -----------------------------------------------------------
  • Ciao,
    informarsi magari prima di sparare sentenze a vanvera....

    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=...

    The TCP implementation in (1) Linux, (2) platforms based on BSD Unix, (3) Microsoft Windows, (4) Cisco products, and probably other operating systems allows remote attackers to cause a denial of service .....
  • Il link è guasto.

    Di quand'è questa vulnerabilità?
    non+autenticato
  • red hat:
    http://kbase.redhat.com/faq/docs/DOC-18730
    Note: Support for connlimit in the kernel was added in Red Hat Enterprise Linux 5 via the advisory RHSA-2009:1243. At the time of writing, a bug is preventing it from working correctly, and as such, connlimit was not used in the above example. Future updates will address this issue
    quindi ancora non fixata


    cisco:
    http://www.cisco.com/en/US/products/products_secur...

    sun:
    http://sunsolve.sun.com/search/document.do?assetke...

    A final resolution is pending completion
    (ci stanno ancora lavorando)
  • ... i cantinari non controbattono... KO tecnico!! A bocca aperta
    non+autenticato
  • - Scritto da: 1763da291298
    > red hat:
    > http://kbase.redhat.com/faq/docs/DOC-18730
    > Note: Support for connlimit in the kernel was
    > added in Red Hat Enterprise Linux 5 via the
    > advisory RHSA-2009:1243. At the time of writing,
    > a bug is preventing it from working correctly,
    > and as such, connlimit was not used in the above
    > example. Future updates will address this
    > issue
    > quindi ancora non fixata
    >

    Quel link, spiega, che su Red Hat Enterprise 3 e 4, basta settare Iptables, mentre su Red Hat Enterprise 5, deve settare iptables senza connlimit, per via di un bug.

    Dove sarebbe il problema??
    -----------------------------------------------------------
    Modificato dall' autore il 11 settembre 2009 10.39
    -----------------------------------------------------------
  • - Scritto da: gnulinux86
    > - Scritto da: 1763da291298
    > > red hat:
    > > http://kbase.redhat.com/faq/docs/DOC-18730
    > > Note: Support for connlimit in the kernel was
    > > added in Red Hat Enterprise Linux 5 via the
    > > advisory RHSA-2009:1243. At the time of writing,
    > > a bug is preventing it from working correctly,
    > > and as such, connlimit was not used in the above
    > > example. Future updates will address this
    > > issue
    > > quindi ancora non fixata
    > >
    >
    > Quel link, spiega, che su Red Hat Enterprise 3 e
    > 4, basta settare Iptables, mentre su Red Hat
    > Enterprise 5, deve settare iptables senza
    > connlimit, per via di un
    > bug.
    >
    > Dove sarebbe il problema??

    Hai presente la differenza tra workaround e fixing?
    non+autenticato
  • Ma cosa centra??

    RedHat rilascerà una patch risolutiva solo per il bug di Conlimit su RHE 5.

    Non utilizzare Conlimit per te sarebbe un workaround?

    Iptables andra settato comunque, in ambito server, non puoi applicare patch di continuo.

    Mentre il problema riguardo Windows Server 2008 e Windows Vista, è più grave:

    http://secunia.com/advisories/36623/

    Utilizzare un sistema su Server nato per Desktop come Windows, comporta troppi svantaggi, su Windows le falle pericolose che necessitano obbligatoriamente di patch risolutiva sono quasi a cadenza mensile, frequenza inaccettabile in ambito server, Linux certamente non immune a bug, necessità di meno correzione in ambito server, spesso la natura del sistema permette modifiche tali(workaround), da evitare pesanti correzioni, che comporterebbero una manutenzione straordinaria( patch).

    Su desktop le patch non sono un problema riavvi ed il gioco è fatto, su Server le patch, vanno solo quando realmente necessarie.
    -----------------------------------------------------------
    Modificato dall' autore il 11 settembre 2009 22.32
    -----------------------------------------------------------
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)