In occasione del “patch day” di Luglio, Microsoft ha rilasciato quattro aggiornamenti di sicurezza, due destinati a Windows, due riguardanti SQL Server ed Exchange. Nessuna patch è stata indicata dal colosso di Redmond come “critica”.
L’Internet Storm Center (ISC) di SANS, nel corso della sua analisi mensile, ha comunque indicato come critica in ambito client la patch MS08-038 poiché già si conoscono in Rete dei codici exploit in grado di far leva sulle vulnerabilità sanabili mediante l’installazione dell’aggiornamento.
Lato server, invece, ISC ritiene di importanza critica le patch MS08-039 e MS08-040 relative, rispettivamente, a Microsoft Exchange ed SQL Server.
– Una vulnerabilità nella gestione DNS potrebbe facilitare attività di “spoofing” (MS08-037). Con il termine “spoofing” si definiscono i tentativi di attacco con cui, attraverso una pagina web appositamente congeniata, si può far credere all’utente di star visitando il sito desiderato quando, in realtà, sta navigando all’interno di pagine web pericolose. Il concetto si può estendere anche ai server DNS: l’aggressore può, in questo caso, essere in grado di modificare l’associazione tra indirizzo mnemonico ed indirizzo IP avendo così la possibilità di dirigere, ad esempio, il browser verso un server diverso da quello legittimo. Affetto dal problema di sicurezza è il client DNS integrato in tutte le versioni di Windows (tranne Vista) oltre al componente server, ove installato. La patch è considerata da Microsoft come “importante”: al momento non si conoscono codici exploit ma la tempestiva installazione dell’aggiornamento è caldamente consigliata.
Alcuni utenti del ZoneAlarm hanno segnalato problemi dopo l’installazione della patch in configurazioni ove il livello di sicurezza del firewall per l’area Internet era stato impostato su “high” (elevato).
– Una vulnerabilità in Windows Explorer potrebbe consentire l’esecuzione di codice in modalità remota (MS08-038). Questa patch permette di mettere una pezza ad una vulnerabilità della shell di Windows che potrebbe essere sfruttata da un aggressore per eseguire codice nocivo. L’attacco, in mancanza dell’aggiornamento, potrebbe concretizzarsi inducendo l’utente ad aprire un file .search-ms
modificato “ad arte” per far leva sulla lacuna di sicurezza.
Un file .search-ms
solitamente contiene informazioni sulle ricerche precedentemente effettuate con il componente Windows Search. La patch, sebbene sia classificata come “importante”, va subito installata in forza del codice exploit già ampiamente conosciuto in Rete.
– Alcune vulnerabilità in Outlook Web Access per Exchange Server potrebbero agevolare l’acquisizione di privilegi più elevati (MS08-039). Microsoft Outlook Web Access (OWA) è un servizio di Exchange Server grazie al quale è possibile permettere agli utenti la lettura e l’invio della posta elettronica, la consultazione e la gestione della rubrica e degli appuntamenti via Internet, servendosi del browser. Un aggressore che riuscisse ad attaccare con successo le vulnerabilità risolvibili attraverso l’installazione dell’aggiornamento, potrebbe guadagnare l’accesso ai dati di sessione dell’utente acquistando così privilegi più elevati.
Per tentare di sfruttare la falla di sicurezza, l’aggressore dovrebbe indurre l’utente ad aprire una e-mail contenente uno script maligno, in grado di interfacciarsi con OWA. Patch ritenuta da Microsoft “importante”.
– Alcune vulnerabilità in SQL Server potrebbero consentire l’acquisizione di privilegi più elevati (MS08-040). La più seria delle vulnerabilità, che riguardano le varie versioni di SQL Server (MSDE compreso) e che sono sanabili applicando questo aggiornamento, potrebbe consentire ad un aggressore di eseguire codice in modalità remota e prendere pieno possesso del sistema.
A corollario del “patch day”, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo “Strumento di rimozione malware” (ved. questa pagina), giunto alla versione 2.0.