Come ogni secondo Martedì del mese, Microsoft ha reso disponibili alcuni aggiornamenti di sicurezza. Il “patch day” di Dicembre è piuttosto pesante: sono infatte sette i bollettini pubblicati. Nessuna versione di Windows è esclusa: sono infatti quattro, per esempio, le patch destinate ai sistemi Windows Vista.
Una vulnerabilità in SMBv2 potrebbe consentire l’esecuzione di codice in modalità remota – MS07-063 (patch “importante”). Questo aggiornamento di sicurezza riguarda esclusivamente i sistemi Windows Vista e permette di correggere una vulnerabilità che espone a possibili attacchi i sistemi che comunicano utilizzando il protocollo SMBv2. In particolare, in mancanza della patch, un aggressore potrebbe essere in grado di eseguire codice arbitrario con i diritti dell’utente loggato. Server Message Block (SMB) è un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete. Windows Vista include un aggiornamento del protocollo (SMBv2), supportato solo su Vista, appunto, e su Windows Server 2008.
Alcune vulnerabilità nelle librerie DirectX possono permettere l’esecuzione di codice da remoto – MS07-064 (patch “critica”). Mediante l’applicazione di questo aggiornamento di sicurezza, è possibile risolvere alcune vulnerabilità presenti in Microsoft DirectX. L’utente può rischiare di vedere eseguito sul proprio personal computer del codice nocivo, semplicemente aprendo file di streaming modificati “ad arte” da malintenzionati, con lo scopo di sfruttare le lacune di sicurezza. Una volta messo a segno questo tipo di attacco, l’aggressore può divenire in grado di installare programmi, visualizzare, modificare ed eliminare dati memorizzati sul sistema dell’utente oppure creare nuovi account dotati di diritti amministrativi. Gli utenti che utilizzano account dotati di diritti più limitati sono comunque soggetti a minori danni rispetto a coloro che sono soliti usare account di tipo amministrativo. L’Internet Storm Center (ISC) di SANS, confermando la criticità della patch, invita tutti gli utenti ad installarla prima possibile, in particolare sui sistemi client. L’aggiornamento di sicurezza interessa tutte le versioni di Windows.
Una vulnerabilità nel servizio Message Queuing può permettere l’esecuzione di codice da remoto – MS07-065 (patch “importante”). La mancata applicazione di questa patch può avere come conseguenza l’eventuale esecuzione di codice dannoso, in modalità remota, su sistemi Windows 2000 Server oppure l’acquisizione di privilegi utente più elevati su macchine Windows 2000 Professional e Windows XP. Per questa vulnerabilità sono già in circolazione codici exploit in grado di sfruttarla, per il momento inclusi in applicazioni a pagamento diffuse sul “mercato nero”.
La patch è classificata, però, solamente come “importante” perché il servizio Message Queuing non è attivo in modo predefinito sui sistemi interessati dal problema.
Una vulnerabilità presente nel kernel di Windows Vista può agevolare l’acquisizione di privilegi utente più elevati – MS07-066 (patch “importante”). Si tratta della terza tra le quattro patch che, questo mese, riguardano Windows Vista. La vulnerabilità riguarda le modalità con le quali Vista gestisce alcune tipologie di accesso al sistema. Se sfruttata, può permettere ad un aggressore, di prendere pieno possesso del sistema. Tra i fattori che mitigano la pericolosità della falla di sicurezza, vi è la necessità, per l’aggressore, di essere in possesso di credenziali di accesso valide per il sistema che desidera attaccare. La vulnerabilità, quindi, può essere sfruttata solamente in ambito locale e non in modalità remota oppure da parte di utenti anonimi.
Una vulnerabilità nel driver Macrovision può facilitare l’acquisizione di privilegi più elevati – MS07-067 (patch “importante”). Questo aggiornamento di sicurezza permette di risolvere una problematica che aveva destato molto scalpore nelle scorse settimane. Macrovision, azienda che sviluppa e commercializza tecnologie per la sicurezza, il controllo degli accessi e la verifica di licenze software, confermò ufficialmente ad inizio Novembre scorso che il suo sistema DRM iniziava ad essere oggetto di pesanti attacchi. Il driver denominato “secdrv.sys” (memorizzato nella cartella WINDOWSsystem32drivers
), sinora distribuito insieme con tutte le versioni di Windows XP, Windows Server 2003 e Windows Vista, è alla base del funzionamento della tecnologia “anti-copia” SafeDisc di Macrovision.
Il driver si occupa di controllare l’autenticità, essenzialmente, dei videogiochi protetti con tecnologia SafeDisc ed impedisce l’utilizzo di copie non autorizzate. L’esperto di sicurezza Elia Florio, dei laboratori Symantec, reso noto di aver individuato una vulnerabilità insita nel driver che può portare all’acquisione di privilegi utente più elevati da parte di personale non autorizzato. Secondo Florio, la sola presenza del driver “secdrv.sys” aprirebbe quindi potenzialmente tutte le macchine Windows XP e Windows Server 2003 a rischi di attacco (non è necessario che l’utente faccia uso di alcun videogioco protetto con SafeDisc). I rischi maggiori potrebbero correrli le strutture aziendali più che i singoli privati. “L’aggressore deve essere loggato sul computer vulnerabile per poter sferrare un attacco e guadagnare privilegi utente maggiori”, ha dichiarato Florio aggiungendo che “ciò riduce i rischi per gli utenti domestici poiché questi solitamente usano un unico account”. Va osservato che un malware in grado di insediarsi sul sistema vulnerabile potrebbe sfruttare la “deficienza” di sicurezza scoperta nel driver “secdrv.sys” per eseguire azioni potenzialmente molto pericolose.
La patch di sicurezza rilasciata da Microsoft questo mese consente di mettere una pezza alla vulnerabilità, oggi ampiamente sfruttata per numerosi attacchi. Proprio per questo motivo l’Internet Storm Center ha bollato la vulnerabilità come “critica” (diversamente rispetto alla classificazione di Microsoft) invitando tutti gli utenti ad applicare immediatamente la patch risolutiva, appena rilasciata. Affetti dal problema sono Windows XP e Windows Server 2003.
Una vulnerabilità nel formato Windows Media File può consentire l’esecuzione di codice in modalità remota – MS07-068 (patch “critica”). La vulnerabilità sanabile mediante l’applicazione di questa patch, riguarda tutte le versioni di Windows ed è considerata come molto pericolosa perché può permettere ad un aggressore di eseguire codice dannoso sulla macchina dell’utente semplicemente inducendolo ad aprire un file Windows Media (ASF, WMV, WMA) modificato “ad arte” per far danni. Sebbene al momento non si conoscano ancora codici nocivi in grado di sfruttare il problema, tutti gli esperti consigliano l’immediata applicazione della patch.
Aggiornamento cumulativo per Internet Explorer – MS07-069 (patch “critica”). L’aggiornamento riguarda tutte le versioni di Windows perché permette di sanare molteplici vulnerabilità scoperte in Internet Explorer 5.01, 6.0 e 7.0. La falla più seria espone l’utente al rischio di vedere eseguito del codice nocivo, sul proprio personal computer, semplicemente visitando una pagina web “maligna”, preparata appositamente per sfruttare la lacuna di sicurezza. Secunia così come l’Internet Storm Center considerano la patch più che critica invitando gli utenti ad applicarla immediatamente.
A corollario del “patch day” di questo mese, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 1.36.