Con un numero di patch molto vicino al record dello scorso ottobre, ieri Microsoft ha corretto 26 vulnerabilità di sicurezza relative a Windows e Office. Tali vulnerabilità sono descritte in 13 bollettini di sicurezza, cinque dei quali classificati come “critici”, sette come “importanti” e uno come “moderato”. Microsoft ha inoltre pubblicato un advisory di sicurezza attinente a un noto problema di sicurezza nei protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL).
I bollettini considerati da Microsoft della massima priorità contengono correzioni per il protocollo SMB (Server Message Block), per il Windows Shell Handler, per ActiveX e per DirectShow.
Jerry Bryant, senior security communications manager di Microsoft, ha sintetizzato il contenuto dei 13 bollettini di febbraio e i relativi fattori di rischio in questo post . Bryant ritiene che la patch più urgente sia quella linkata nel bollettino MS10-013 , e relativa alla falla di DirectShow . Tale falla, classificata “critica” in tutte le versioni supportate di Windows (eccetto le edizioni per Itanium), può essere sfruttata dai cracker per prendere il controllo di un sistema remoto in modo piuttosto semplice: inserendo un file AVI maligno all’interno di una pagina web o di una email e inducendo l’utente ad aprirlo.
Giudicate della massima gravità anche le vulnerabilità risolte dal bollettino MS10-006 e relative al componente SMB Client di Windows. Le falle sono considerate della massima gravità in tutte le versioni supportate di Windows tranne che in Vista e Server 2008, dove sono catalogate come “importanti”.
A preoccupare è soprattutto un bug di SMB con exploitability index (EI) pari a 1, che suggerisce l’elevata probabilità che emerga un exploit. Bryant afferma però che se è relativamente semplice sfruttare la falla per causare un denial of service, lo è molto meno servirsene per eseguire codice a distanza.
Il protocollo SMB si trova anche al centro del bollettino MS10-012 , classificato “importante” e indirizzato, ancora una volta, a tutte le versioni supportate di Windows. Microsoft spiega che un firewall ben configurato dovrebbe proteggere le aziende da attacchi esterni. Sulle vulnerabilità dei bollettini MS10-006 e MS10-012 Microsoft ha pubblicato anche questo approfondimento .
Un’altra vulnerabilità con EI pari a 1 è quella illustrata nel bollettino MS10-007 , che interessa il Windows Shell Handler di Windows 2000, Windows XP, e Windows Server 2003. Il problema risiede nell’errata validazione, da parte della API ShellExecute, di certi URL malformati: URL che, una volta aperti dall’utente, possono eseguire del codice maligno. Anche in questo caso Microsoft ha dedicato al problema questo approfondimento .
Gli ultimi due bollettini “critici” sono l’ MS10-008 , che disattiva diversi controlli ActiveX vulnerabili, e l’ MS10-009 , che sistema invece diversi bug nell’implementazione del protocollo TCP/IP di Windows Vista e Windows Server 2008. Questo è l’unico bollettino che contiene una vulnerabilità zero-day , ossia già sfruttata in alcuni attacchi.
I bollettini con classe di rischio “importante” sono, oltre al già citato MS10-012, l’ MS10-003 e l’ MS10-004 (esecuzione di codice a distanza), entrambi relativi a versioni meno recenti di Office, l’ MS10-010 (denial of service), relativo a Windows Server 2008 Hyper-V, l’ MS10-011 (elevazione dei privilegi), relativo al Windows Client/Server Run-time Subsystem, l’MS10-014 (denial of service), relativo al protocollo di autenticazione Kerberos, e l’ MS10-015 (elevazione dei privilegi), relativo al kernel di Windows.
Infine c’è il bollettino MS10-005 (esecuzione di codice a distanza), relativo a Microsoft Paint.
Tabelle sinottiche dei bollettini succitati sono riportate qui e qui , mentre il sommario è qui . Altri link per approfondire sono riportati in questo post di Feliciano Intini, chief security advisor di Microsoft Italia.
Come anticipato, Microsoft ha pubblicato anche l’advisory 977377 relativo alla nota vulnerabilità nei protocolli TLS e SSL . Tale vulnerabilità è stata resa pubblica lo scorso autunno da due ricercatori di Phone Factor, e della sua correzione “a monte” si sta occupando ICASI (Internet Consortium for Advancement of Security on the Internet).
In attesa del rilascio di una patch, Microsoft fornisce una soluzione temporanea e invita però le aziende ad applicarla con prudenza, analizzando prima attentamente l’impatto che il workaround potrebbe avere su certe applicazioni. Su tale vulnerabilità si veda anche questo approfondimento e questo post di Intini.
Alessandro Del Rosso