Lo scorso martedì Microsoft ha rilasciato quello che, su sua stessa ammissione, è il più “grasso” aggiornamento di sicurezza degli ultimi anni, costituito da 8 bollettini che correggono complessivamente ben 28 diverse vulnerabilità di sicurezza . Per ironia della sorte, però, in questi giorni sono emerse quatto nuove vulnerabilità zero-day non corrette dai recenti bollettini di dicembre.
Le quattro falle di sicurezza riguardano, per ordine di importanza, Internet Explorer 7, WordPad e SQL Server 2000 e 2005. La prima, a cui Microsoft ha dedicato questo advisory , è venuta alla luce dopo che un team di ricercatori cinese ha erroneamente pubblicato sul Web un exploit dimostrativo . I ricercatori cinesi hanno spiegato di aver reso il codice dell’exploit di pubblico dominio perché convinti che questo fosse già stato corretto.
L’exploit è già stato utilizzato in un certo numero di attacchi, ed ora gli esperti temono che possa entrare a far parte del codice genetico di un worm.
La vulnerabilità affligge praticamente tutte le versioni ancora supportate di Windows , incluse le edizioni server, ma BigM sostiene che le misure di sicurezza integrate in Windows Vista e Windows Server 2003/2008 riducano drasticamente l’efficacia dell’exploit , e dunque il suo grado di pericolosità. Ciò non toglie che nelle altre versioni di Windows questa falla possa essere sfruttata per attacchi da remoto mirati a prendere il pieno controllo di un sistema . Secondo gli esperti, la debolezza può essere innescata semplicemente visitando una pagina web.
Per un approfondimento tecnico di veda questo post apparso sul blog dell’Internet Storm Center.
PCWorld riporta che la vulnerabilità divulgata dal team cinese era già nota nell’ambiente dei cracker fin da inizio novembre, e sul “mercato nero” dei bug di sicurezza avrebbe raggiunto un quotazione di 15mila dollari .
La seconda vulnerabilità zero-day riguarda WordPad , il famoso editor di testi incluso in tutte le versioni di Windows. Per la precisione, la debolezza è contenuta nel componente Text Converter , lo stesso che permette di aprire in WordPad i documenti creati con varie versioni di Word. La falla può essere innescata dall’apertura di un documento in formato Word 97 contenente al proprio interno del codice maligno.
Come la precedente, anche questa falla è già stata sfruttata in alcuni attacchi. In questo advisory Microsoft spiega che l’attuale exploit funziona solo con Windows 2000, Windows XP SP2 e Windows Server . Immuni dal problema, almeno per il momento, XP SP3, Vista e Server 2008.
“Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell’utente locale”, si legge nell’advisory di BigM. “Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L’attacco è possibile solo se l’utente apre un allegato a un messaggio di posta elettronica. Se è stato installato Microsoft Office Word, per impostazione predefinita i documenti di Word 97 vengono aperti con Microsoft Office Word, che non è interessato da questa vulnerabilità. Un utente malintenzionato può tuttavia rinominare un file dannoso attribuendogli un’estensione Windows Write (.wri), in grado di richiamare WordPad. Questo tipo di file può essere bloccato in corrispondenza della rete perimetrale di accesso a Internet”.
Un paio di falle zero-day interessano poi SQL Server 2000 e 2005 , e sono state descritte in questo advisory di SEC Consult. Qui si legge che “a seconda della versione di Windows sottostante, potrebbe essere possibile usare questa vulnerabilità per eseguire codice arbitrario con gli stessi privilegi del processo SQL vulnerabile”. A mitigarne significativamente la gravità, però, interviene il fatto che la falla può essere sfruttata solo da un utente loggato nel database .
Nel momento in cui si scrive, Microsoft non ha pubblicato alcun advisory relativo a questo problema.
Le vulnerabilità corrette dai bollettini di sicurezza di dicembre sono state descritte e commentate in questo post del Security Blog di Feliciano Intini e riassunte in questa tabella pubblicata dall’ Internet Storm Center .