Redmond (USA) – Sono sette, in totale, i problemi di sicurezza risolti da Microsoft con il rilascio dei consueti bollettini mensili. Fra questi quelli valutati con un fattore di rischio massimo (“critical”) sono due e riguardano altrettanti componenti di Windows: il Task Scheduler (che nella versione italiana si chiama Operazioni pianificate ) e il sistema di Help.
Meno gravi, secondo il big di Redmond, le altre cinque falle, tra cui quattro classificate come “important” e una come “moderate”. Secondo la terminologia di Microsoft, una vulnerabilità viene definita “critica” quando “può consentire la propagazione di un Internet worm senza alcun intervento da parte dell’utente”.
La vulnerabilità del Task Scheduler, descritta nel bollettino MS04-022 , riguarda un buffer non verificato che può essere utilizzato per attacchi da remoto. Le versioni di Windows interessate dal problema sono 2000 e XP.
“Se un utente è loggato con i privilegi di amministratore, un aggressore che abbia sfruttato con successo questa vulnerabilità potrebbe prendere il pieno controllo di un sistema vulnerabile, inclusa la possibilità di installare programmi; visualizzare, modificare e cancellare dati; o creare nuovi account con pieni privilegi”, si legge nel bollettino di Microsoft. “Per sfruttare questa falla è tuttavia necessaria l’interazione dell’utente”.
Microsoft ha sottolineato come sia buona norma, quando si utilizza il sistema per operazioni ordinarie, utilizzare account con privilegi limitati.
La seconda vulnerabilità critica, descritta nel bollettino MS04-023 , interessa un componente alla base del sistema di Help HTML presente in tutte le versioni di Windows, dalla 98 alla Server 2003. Anche in questo caso, se un utente è loggato nel sistema con i massimi privilegi, un aggressore potrebbe sfruttare la falla da remoto per prendere il completo controllo del computer.
Nello stesso bollettino Microsoft ha descritto una seconda vulnerabilità dell’Help di Windows, questa volta riguardante il componente showHelp , che sebbene possa essere utilizzata per l’esecuzione di codice da remoto, è ritenuta dall’azienda meno grave della precedente.
I bollettini di sicurezza classificati come “important” sono quattro:
– l’ MS04-019 descrive una falla dell’Utility Manager, uno strumento di Windows per l’accessibilità, che può consentire ad un utente locale l’elevazione dei propri privilegi su quasi tutte le versioni di Windows;
l’ MS04-020 riguarda una vulnerabilità nel sottosistema POSIX che, come nel caso precedente, può essere utilizzata da un aggressore per elevare i propri privilegi. Interessa Windows NT e 2000.
– l’ MS04-021 è relativo ad una falla di tipo buffer overflow di Internet Information Services (IIS) 4.0 che può essere utilizzata da un aggressore per prendere il pieno controllo di un sistema da remoto. Sono vulnerabili solo i server con Windows NT che utilizzano IIS 4.0. “Se ancora usate IIS 4.0 – ha affermato il SANS Institute in un advisory – questo è certamente un motivo in più per aggiornare”;
– l’ MS04-024 fornisce una patch per la vulnerabilità resa pubblica all’inizio del mese e relativa alla possibilità, per un cracker, di eseguire del codice da remoto attraverso la shell di Windows e con gli stessi privilegi dell’utente loggato nel sistema. Il SANS ritiene questa falla piuttosto pericolosa per il fatto che circolano già diversi exploit.
L’ultimo bollettino, l’ MS04-018 , descrive una vulnerabilità di Outlook Express valutata da Microsoft di rischio moderato. La debolezza, che consiste in una non corretta verifica dell’intestazione dei messaggi di e-mail, interessa solo Outlook Express 6 senza service pack e può essere sfruttata da un malintenzionato per inviare e-mail che, una volta aperte (anche nell’area anteprima), causano il crash del client di Microsoft.
Insieme alle nuove patch di sicurezza, che come di consueto possono essere scaricate seguendo i link forniti nei bollettini o attraverso il Windows Update, Microsoft ha rilasciato un tool per la rimozione del cavallo di Troia (noto come Berbew, AXJ, Webber o Padodor) che viene installato dal noto attacco Download.Ject .