www.MegaLab.it

Dopo un mese di stop è di nuovo tempo di aggiornamenti per i prodotti Microsoft.

Questo mese il big di Redmond rilascia ben otto hotfix di sicurezza, cinque dei quali classificati a priorità "Critical" (il massimo livello di pericolosità attribuito da Microsoft ad una falla di sicurezza) e tre a priorità "Important", il secondo gradino di guardia.

I nostri consigli

Molte delle patch distribuite sono raccomandate unicamente in determinate circostanze, mentre risulterebbero davvero superflue in ambienti domestici o SOHO.

Microsoft purtroppo continua ad utilizzare la propria gerarchia di pericolosità unicamente rispetto ai possibili danni che potrebbero essere causati da un cracker, uniformando home PC, server e workstation in modo indistinto: prima di dare un'occhiata al bollettino di questo mese, proviamo a dare qualche consiglio informale su cosa installare in ogni ambiente.

Computer di casa

MS05-019, MS05-020 (solo se utilizzate Internet Explorer), MS05-022 (solo se utilizzate MSN Messenger)

Server

MS05-019, MS05-021 (solamente a patto sia installato Exchange Server)

Parco macchine aziendali

Consigliamo di installare tutti gli aggiornamenti, a meno che non si sia certi del rispetto della policy di sicurezza.

PC condivisi

MS05-020, MS05-022, MS05-016, MS05-018

Vulnerabilities in TCP/IP (MS05-019)

Una vulnerabilità potenzialmente molto pericolosa accomuna tutte le versioni di Windows, tanto le vecchie edizioni Windows 98/98SE/ME quanto le nuove versioni basate sull'evoluzione del kernel NT, quali Windows Server 2003, Windows XP e Windows 2000. Come si ricorderà Windows NT è uscito definitivamente dalla fase di supporto Microsoft a dicembre 2004, e quindi non viene più contemplato. L'unica versione sicura sembrerebbe essere Windows Server 2003, a patto però che sia installato il neo-distribuito Service Pack 1.

Microsoft ha rilevato una serie di debolezze nella gestione dei pacchetti TCP/IP che potrebbero permettere ad un cracker di eseguire codice a propria discrezione oppure bloccare totalmente il sistema, inviando alla macchina bersaglio uno o più messaggi malformati.

Sebbene molti router, soprattutto quelli delle dorsali, filtrino automaticamente i datagram malevoli di questo tipo, l'hotfix è vivamente consigliato a tutta l'utenza collegata alla rete Internet, indipendentemente che sia in uso in firewall o meno.

Da notare però che l'installazione di questo hotfix potrebbe creare nuovi problemi alla connessione. In particolare, molti utenti hanno riportato una notevole degradazione della velocità di navigazione, attribuibile ad una importante modifica apportata alla finestra di ricezione TCP (chiamata TCPWindowSize, ma nota ai più come RcvWin): in caso si verificasse questo effetto collaterale, Microsoft raccomanda di modificare il valore di TCPWindowSize manualmente, aggiungendo un nuovo DWORD Value con nome TCPWindowSize alla voce HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters del registro di configurazione.

Ancora una volta raccomandiamo di installare questo update quanto prima: sebbene non esista ancora un exploit funzionante, stanno già apparendo i primi Proof of Concept, ovvero codici di attacco in versione "beta".

Riferimento Microsoft (ENG)

Cumulative Security Update for Internet Explorer (MS05-020)

Ancora una volta Microsoft corre ai ripari e rappezza qualche vulnerabilità per il proprio Internet Explorer. Interessati sono, ancora una volta, tutte le versioni di Windows ad eccezione di Windows Server 2003 Service Pack 1.

Sono al sicuro gli utenti di browser alternativi, come Mozilla Firefox e Opera Browser come, naturalmente, "Pinguini" e "Mele" varie.

Riferimento Microsoft (ENG)

Vulnerability in Exchange Server (MS05-021)

Tutte le nuove edizioni del popolare mailserver Microsoft sono afflitte da un errore nel componente SMTP: sfruttando questa debolezza un cracker potrebbe impartire particolari comandi al server, tali da causare un errore e mandare in esecuzione codice da remoto.

Va comunque precisato che per poter portare un attacco di questo tipo l'utente ostile dovrebbe essere in grado di autenticarsi sul mailserver con credenziali valide. Inoltre, le basilari pratiche di sicurezza suggeriscono di bloccare l'accesso alla porta 25 usata da SMTP da parte della rete esterna, permettendo la connessione solo Intranet: in questo scenario ovviamente un qualsiasi tentativo di cracking portato su questa vulnerabilità fallirebbe per certo.

Riferimento Microsoft (ENG)

Vulnerability in MSN Messenger (MS05-022)

Questo bollettino di sicurezza sostituisce quello emesso qualche tempo addietro riguardo ad un problema di overflow nella gestione della immagini gif.

Sebbene Microsoft non abbia rilasciato ulteriori commenti al riguardo, sembra proprio che l'hotfix proposto all'epoca fosse solo parzialmente efficace, mentre questo nuovo update promette di risolvere il problema (per i cui dettagli rimandiamo al bollettino originale) alla radice.

Sono afflitte dal problema le versioni 6.2 e 7.0 beta di MSN Messenger mentre sono al sicuro gli utenti che avessero installato la nuova versione 7.0 definitiva.

Sebbene Microsoft proponga una patch che risolve il problema, raccomandiamo agli utenti di aggiornare direttamente lo spara messaggini alla nuova versione 7.0.

Aggiornamento MSN Messenger 6.2

MSN Messenger 7.0

Vulnerabilities in Microsoft Word (MS05-23)

Anche il popolare programma di videoscrittura Microsoft Word (versioni 2000, 2002 (nota informalmente come Word XP) e 2003) evidenzia questo mese due vulnerabilità classificate come "Critical" anche se, in effetti, sono facilmente aggirabili con un po' di buon senso.

L'editor infatti sarebbe afflitto da due diversi buffer non verificati, ai quali un cracker potrebbe passare un quantitativo di dati eccessivo, tale da causare un cosiddetto heap overflow ed eseguire codice a proprio piacimento, prendendo di fatto pieno controllo della macchina, ivi compresa cancellazione o sottrazione di documenti riservati. Potrebbe inoltre utilizzare il sistema aggredito come testa di ponte per assalti di gruppo, ad esempio in attacchi di tipo Distributed Denial of Service rivoli verso terze parti.

Per poter sfruttare il baco però, il cracker dovrebbe persuadere l'utente ad aprire un documento Word creato ad hoc: le basilari pratiche di sicurezza suggeriscono di porre sempre la massima attenzione nell'apertura di documenti di provenienza ignota.

Suggeriamo quindi di applicare la patch solamente in ambienti mission-citical oppure in ambito aziendale: per l'utenza domestica sarà sufficiente rispettare le solite regole di buonsenso per essere al sicuro.

Riferimento Microsoft (ENG)

Vulnerability in Windows Shell (MS05-016)

Ancora un problema di esecuzione remota di codice (il tipo di vulnerabilità più pericolosa) per quasi tutti i sistemi operativi Microsoft: è escluso dalla lista (ancora una volta!) Windows Server 2003 a cui fosse applicato Service Pack 1.

Poiché la vulnerabilità è stata classificata come "Important" ma non "Critical", nulla è dato sapere riguardo alle vecchie versioni Windows 98/98SE/ME, che potrebbero o meno essere afflitte dal problema: osservando il tipo di vulnerabilità possiamo ipotizzare che questi sistemi siano sicuri, ma si tratta assolutamente di impressioni non confermate da Microsoft.

La falla riguarderebbe un problema non meglio precisato correlato alle associazioni dei file sconosciute: nel laconico bollettino di questo hotfix, Microsoft afferma che, per poter sfruttare tale vulnerabilità, un cracker dovrebbe convincere l'utente a lanciare un particolare tipo di file malformato con associazione sconosciuta: ancora una volta però, consigliamo di preparare una rigida politica di gestione dei file provenienti da fonte incerta piuttosto che installare questo aggiornamento.

Riferimento Microsoft (ENG)

Vulnerability in Message Queuing (MS05-017)

Un buffer non verificato nel componente Accodamento Messaggi di Windows 2000 e Windows XP sprovvisto dell'ultimo Service Pack disponibile potrebbe causare uno straripamento dl buffer, con i soliti rischi relativi all'esecuzione di codice da remoto.

Va comunque precisato che il componente incriminato non è installato di default, e nella maggior parte degli ambienti può essere considerato superfluo.

Potete verificare la presenza di Accodamento Messaggi nel vostro sistema portandovi su Pannello di Controllo -> Installazione componenti di Windows: come anticipato, in caso il servizio non fosse installato la patch è del tutto superflua.

Maggiori informazioni (in inglese) su Accodamento Messaggi sono qui.

Riferimento Microsoft (ENG)

Vulnerabilities in Windows Kernel (MS05-018)

Ancora una serie di vulnerabilità classificate "Critical" per tutte le versioni di Windows, eccezion fatta per Windows Server 2003 Service Pack 1.

Le varie vulnerabilità risolte permettono infatti di aggredire unicamente un host per il quale il cracker disponga di un accesso fisico e di valide credenziali per il login: in alcun caso è possibile sfruttare i difetti risolti da questa patch da remoto, tantomeno eseguire codice (motivo per cui riteniamo la classificazione "Critical" espressa da Microsoft un po' eccessiva).

Questo update interesserà quindi unicamente gli Internet Cafè, e tutti gli ambiti in cui un computer sia condiviso fra più utenti: in ambito domestico può essere tranquillamente ignorata.

Riferimento Microsoft (ENG)