Anche questo mese Microsoft rinnova il proprio appuntamento con patch e hotfix di sicurezza per i propri sistemi Windows.
La pericolosità delle falle scoperte varia dall'aumento dei privilegi fino all'esecuzione di codice con privilegi di amministratore, in alcuni scenari anche da remoto.
Nel caso in cui l'attacco fosse portato a termine con successo, le falle di sicurezza permetterebbero infatti l'esecuzione remota di codice, una tecnica con cui un utente ostile potrebbe prendere pieno controllo del sistema aggredito, e utilizzarlo come testa di ponte per attacchi verso terze parti (in particolare i pericolosi Denial of Service verso siti di corporation) o come "centrali spara-SPAM".
A dir la verità questo mese abbiamo notato una tendenza ad attribuire pericolosità molto alte, addirittura due "critical" per problematiche tutto sommato abbastanza difficili da sfruttare con successo, ed in cui è sempre richiesta l'iterazione con l'utente.
Nessuna delle falle di questo mese è quindi destinata ad essere una cosiddetta "big one", una di quelle grosse che causano incidenti di portata notevole: è comunque sempre preferibile mantenere i propri sistemi aggiornati, soprattutto per gli utenti meno esperti.
MS04-022: Vulnerability in Task Scheduler Could Allow Code Execution (841873)
Il primo hotfix tappa una falla classificata "Critical", una categorizzazione a nostro avviso eccessiva.
Si tratta di un problema legato all'utility "Operazioni Pianificate " ("Task Scheduler") presente in Windows 2000 e XP. Le versioni precedenti e Windows Server 2003 includono una versione di Task Scheduler non vulnerabile. Windows NT è vulnerabile solo qualora abbiate installato Internet Explorer versione 6.
Il programma, utilizzato per eseguire determinati programmi ad orari prefissati, non valida correttamente il nome dell'eseguibile passato come parametro, permettendo l'esecuzione di codice.
L'attacco non potrà essere sfruttato senza partecipazione dell'utente, che dovrà visitare una pagina web preparata ad hoc dall'aggressore. Sebbene non sia difficile invogliare l'utente a cliccare su un link (ad esempio mediante spam che promuova il sito come prodotti gratuiti a luci rosse) l'iterazione con l'utente è comunque necessaria: ancor prima di installare la patch, il miglior modo per mettersi al sicuro da questi problemi è fare ben attenzione ai siti visitati, e diffidare da messaggi sospetti.
Purtroppo non è chiaro se utilizzando browser diversi da Internet Explorer il sistema rimanga vulnerabile: raccomandiamo quindi di installare comunque la patch su tutti i sistemi potenzialmente vulnerabili.
Bollettino Microsoft (in inglese)
MS04-023: Vulnerability in HTML Help Could Allow Code Execution (840315)
La seconda falla, anch'essa classificata "critical", interessa tutte le versioni di Microsoft Windows, tanto le datate 98 ed ME quanto le moderne 2000/XP/2003.
Nonostante il supporto per le vecchi edizioni sia scaduto da svariati mesi, Microsoft si impegna a distribuire ancora le patch di sicurezza critiche anche per questi sistemi. attualmente questi hotfix sono in fase di realizzazione, ma non appena disponibili potranno essere installate mediante Windows Update.
La patch cura due distinte vulnerabilità, entrambe localizzate nel sistema di Help in linea di Windows: sfruttando questa debolezza, un utente ostile potrebbe seguire codice a proprio piacimento.
Ancora una volta reputiamo la classificazione "critical" un po' eccessiva: anche in questo caso l'utente deve manualmente visitare una pagina web creata appositamente, oppure visualizzare una e-mail in formato HTML. Alcuni voci ufficiose hanno riportato che utilizzando sistemi diversi da Internet Explorer e mailer che non utilizzino il motore di rendering di IE possano essere immuni: trattandosi comunque di voci non confermate, è altamente consigliabile installare la patch in ogni caso.
Bollettino Microsoft (in inglese)
MS04-024: Vulnerability in Windows Shell Could Allow Remote Code Execution (839645)
Ancora una vulnerabilità globale, che colpisce tutte le versioni di Windows: non essendo classificata "Critical" (ma solamente "Important") Microsoft non distribuisce però la patch per Windows 98/ME.
Una vulnerabilità localizzata nella shell di Windows, ed in particolare nel modo con cui la shell lancia i programmi dell'utente, permetterebbe ad un utente ostile di eseguire codice (anche da remoto) sfruttando un account con privilegi di amministratore (solo in caso un utente avesse già effettuato il log-in con tale account).
Benché classificata "Important", la falla è comunque particolarmente difficile da sfruttare, e richiede una certa "collaborazione" (volontaria o meno!) da parte dell'utente, che come minimo deve visitare una pagina creata allo scopo: è sempre raccomandabile di utilizzare utenti a privilegi limitati per l'utilizzo quotidiano del sistema, riservando l'account amministratore per la sola manutenzione.
Bollettino Microsoft (in inglese) e altri download
MS04-019: Vulnerability in Utility Manager Could Allow Code Execution (842526)
Il terzo hotfix di questo mese interessa unicamente Windows 2000, e viene classificato equamente come "Important", secondo scalino di pericolosità.
Un utente che avesse accesso fisico ad un sistema non aggiornato, potrebbe sfruttare un problema nel programma "Utility Manager" per eseguire codice con gli stessi privilegi dell'amministratore: in questo modo potrebbe creare nuovi utenti non protetti con privilegi superiori, e prendere il pieno controllo del sistema.
Stando a quanto riportato non sarebbe possibile sfruttare la falla da remoto: raccomandiamo quindi l'installazione della patch solo in ambienti di lavoro con terminali condivisi fra più utenti, oppure su macchine pubblicamente accessibili, quali quelle degli Internet Cafè.
Bollettino Microsoft (in inglese)
MS04-020: Vulnerability in POSIX Could Allow Code Execution (841872)
Una vulnerabilità di tipo "buffer overflow" nel sottosistema Portable Operating System Interface for UNIX (POSIX) di Windows NT/2000 permetterebbe ad un utente locale di guadagnare i privilegi di amministratore, similmente a quanto discusso poco sopra per il bollettino "MS04-019".
Il sottosistema fallato permette a Windows di eseguire alcuni programmi scritti per il sistema UNIX, nel popolare standard POSIX.
Solo Windows NT/2000 sono afflitti dal problema: le altre versioni non necessitano alcun aggiornamento.
Bollettino Microsoft e download patch NT
MS04-021: Security Update for IIS 4.0 (841373)
È stato scoperto un pericoloso buffer overrun nell'ormai vetusto Internet Information Services 4 su Windows NT, il web server di casa Microsoft.
IIS non viene attivato di default: in caso non sappiate cosa sia IIS, il vostro sistema non è vulnerabile.
Il problema sarebbe localizzato nel componente che si occupa di gestire i redirect, ma solo Windows NT + IIS4 sarebbero a rischio: tutti gli altri sistemi non soffrono di tale problema, anche qualora IIS fosse attivato.
Microsoft ha riportato inoltre come l'utilizzo dei tool di sicurezza "IIS Lockdown" e "URLScan" protegga il web server contro attacchi che tentino di sfruttare questa falla anche senza installare gli hotfix.
Bollettino Microsoft e download patch.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati