Dopo la “pausa” di maggio, mese in cui Microsoft ha pubblicato un solo bollettino di sicurezza, il security team di BigM è tornato a macinare patch a pieno regime. Nella tarda serata di martedì, puntuale con il suo ciclo mensile di rilascio dei fix di sicurezza, la mamma di Windows ha pubblicato dieci bollettini che correggono, nel complesso, un numero record di 31 vulnerabilità.
Dei dieci bollettini, sei sono classificati con un grado di rischio critico , tre importante e uno moderato . Le applicazioni e i componenti interessati da questa tornata di patch sono Active Directory (2), Internet Explorer (8), Internet Information Services (2), Office Excel (7), Office Word (2), il pooler di stampa di Windows (3), Windows Search (1), il kernel di Windows (4) e Windows RPC (1). In quasi tutti i casi c’è almeno una vulnerabilità con exploitabily index pari a 1, ossia con elevata probabilità che possa essere sfruttata da cracker o malware.
“Oltre ad essere uno dei Patch Tuesday più corposi , è anche uno dei più estesi. Le patch di Microsoft coprono molte delle tecnologie dell’azienda, comprese varie versioni di Windows ed anche Office per Mac” ha dichiarato Dave Marcus, direttore della ricerca di sicurezza e della comunicazione dei McAfee Avert Labs. “Gli aggiornamenti dei sistemi con la correzione delle saranno patch particolarmente impegnative per le aziende, che avranno bisogno di appoggiarsi a una robusta strategia di risk management per valutare quali aggiornamenti effettuare e in quale priorità per respingere potenziali attacchi”.
Tra i bollettini più “caldi” c’è quello MS09-019 relativo a IE, che fornisce una patch cumulativa applicabile a tutte le versioni del browser di Windows, inclusa la recente 8.0.
Tra le vulnerabilità corrette in IIS c’è anche quella relativa all’estensione WebDAV di cui si era dato notizia lo scorso mese. Seppure non sia classificata con il massimo grado di rischio, questa debolezza è già stata bersaglio dei cracker.
Le vulnerabilità più serie di Word, Excel e Works, trattate rispettivamente nei bollettini MS09-027 , MS09-021 e MS09-024 , potrebbero essere sfruttate da un malintenzionato per creare documenti che, una volta aperti, causano l’esecuzione di codice maligno con gli stessi privilegi dell’utente locale.
“Sfruttando una di queste vulnerabilità, un utente malintenzionato potrebbe assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi”, si legge nei bollettini relativi a Office e Works.
I tre bollettini “importanti”, relativi a RPC, kernel di Windows e IIS, possono invece consentire ad un utente di acquisire privilegi più elevati di quelli a lui assegnati. Nel caso peggiore, un malintenzionato potrebbe arrivare a prendere il pieno controllo di un sistema remoto.
Le vulnerabilità più pericolose per i server sono quelle descritte nel bollettino MS09-018 , e relative Active Directory: tali bug possono essere sfruttati per eseguire codice a distanza o per lanciare attacchi di denial of service. Il problema interessa Windows 2000 e 2003 e i sistemi XP sui cui sia installato Active Directory Application Mode.
Potenzialmente serie anche le debolezze associate al pooler di stampa di Windows, soprattutto per i Windows 2000, dove la falla è classificata come “critica”, e Vista/2008, dove il livello di gravità è “importante”. In XP e 2003 il rischio è invece “moderato”.
Insieme ai nuovi bollettini di sicurezza, nella tarda serata di martedì Microsoft ha pubblicato anche due nuovi advisory: uno relativo ad un aggiornamento Rollup per gli ActiveX Kill Bits, e uno a un update per il DNS devolution dei propri server.
Di seguito alcune risorse di approfondimento:
– riepilogo ufficiale dei bollettini di giugno;
– post di Feliciano Intini, chief security advisor di Microsoft Italia, in cui si trova una tabella sinottica delle vulnerabilità e diversi link a risorse di approfondimento;
– post del Microsoft Security Response Center;
– tabella del SANS Internet Storm Center in cui viene fornita una classificazione delle falle alternativa a quella di Microsoft e suddivisa per sistemi client e server.