Roma - Con un numero di patch molto vicino
al record dello scorso ottobre, ieri Microsoft ha corretto 26 vulnerabilità di sicurezza relative a Windows e Office. Tali vulnerabilità sono descritte in 13 bollettini di sicurezza, cinque dei quali classificati come "critici", sette come "importanti" e uno come "moderato". Microsoft ha inoltre pubblicato un advisory di sicurezza attinente a un noto problema di sicurezza nei protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL).
I bollettini considerati da Microsoft della massima priorità contengono correzioni per il protocollo SMB (Server Message Block), per il Windows Shell Handler, per ActiveX e per DirectShow.
Jerry Bryant, senior security communications manager di Microsoft, ha sintetizzato il contenuto dei 13 bollettini di febbraio e i relativi fattori di rischio in
questo post. Bryant ritiene che la patch più urgente sia quella linkata nel bollettino
MS10-013, e relativa alla
falla di DirectShow. Tale falla, classificata "critica" in tutte le versioni supportate di Windows (eccetto le edizioni per Itanium), può essere sfruttata dai cracker per prendere il controllo di un sistema remoto in modo piuttosto semplice: inserendo un file AVI maligno all'interno di una pagina web o di una email e inducendo l'utente ad aprirlo.
Giudicate della massima gravità anche le vulnerabilità risolte dal bollettino
MS10-006 e relative al componente
SMB Client di Windows. Le falle sono considerate della massima gravità in tutte le versioni supportate di Windows tranne che in Vista e Server 2008, dove sono catalogate come "importanti".
A preoccupare è soprattutto un bug di SMB con
exploitability index (EI) pari a 1, che suggerisce l'elevata probabilità che emerga un exploit. Bryant afferma però che se è relativamente semplice sfruttare la falla per causare un denial of service, lo è molto meno servirsene per eseguire codice a distanza.
Il protocollo SMB si trova anche al centro del bollettino
MS10-012, classificato "importante" e indirizzato, ancora una volta, a tutte le versioni supportate di Windows. Microsoft spiega che un firewall ben configurato dovrebbe proteggere le aziende da attacchi esterni. Sulle vulnerabilità dei bollettini MS10-006 e MS10-012 Microsoft ha pubblicato anche
questo approfondimento.
Un'altra vulnerabilità con EI pari a 1 è quella illustrata nel bollettino
MS10-007, che interessa il
Windows Shell Handler di Windows 2000, Windows XP, e Windows Server 2003. Il problema risiede nell'errata validazione, da parte della API ShellExecute, di certi URL malformati: URL che, una volta aperti dall'utente, possono eseguire del codice maligno. Anche in questo caso Microsoft ha dedicato al problema
questo approfondimento.
Gli ultimi due bollettini "critici" sono l'
MS10-008, che disattiva diversi
controlli ActiveX vulnerabili, e l'
MS10-009, che sistema invece diversi bug nell'implementazione del
protocollo TCP/IP di Windows Vista e Windows Server 2008. Questo è l'unico bollettino che contiene una
vulnerabilità zero-day, ossia già sfruttata in alcuni attacchi.
I bollettini con classe di rischio "importante" sono, oltre al già citato MS10-012, l'
MS10-003 e l'
MS10-004 (esecuzione di codice a distanza), entrambi relativi a versioni meno recenti di Office, l'
MS10-010 (denial of service), relativo a Windows Server 2008 Hyper-V, l'
MS10-011 (elevazione dei privilegi), relativo al Windows Client/Server Run-time Subsystem, l'MS10-014 (denial of service), relativo al protocollo di autenticazione Kerberos, e l'
MS10-015 (elevazione dei privilegi), relativo al kernel di Windows.
Infine c'è il bollettino
MS10-005 (esecuzione di codice a distanza), relativo a Microsoft Paint.
Tabelle sinottiche dei bollettini succitati sono riportate
qui e
qui, mentre il sommario è
qui. Altri link per approfondire sono riportati in
questo post di Feliciano Intini, chief security advisor di Microsoft Italia.
Come anticipato, Microsoft ha pubblicato anche l'advisory
977377 relativo alla
nota vulnerabilità nei
protocolli TLS e SSL. Tale vulnerabilità è stata resa pubblica lo scorso autunno da due ricercatori di Phone Factor, e della sua correzione "a monte" si sta occupando ICASI (Internet Consortium for Advancement of Security on the Internet).
In attesa del rilascio di una patch, Microsoft fornisce
una soluzione temporanea e invita però le aziende ad applicarla con prudenza, analizzando prima attentamente l'impatto che il workaround potrebbe avere su certe applicazioni. Su tale vulnerabilità si veda anche
questo approfondimento e
questo post di Intini.
Alessandro Del Rosso