Nel corso del “patch day” di novembre, Microsoft ha rilasciato 14 aggiornamenti di sicurezza con l’intento di risolvere, complessivamente, 33 vulnerabilità individuate nelle varie versioni di Windows, di Internet Explorer, di Office e del Framework .NET.
Per la prima volta, dopo tanto tempo, i tecnici del colosso di Redmond hanno deciso di astenersi dalla distribuzione di ben due aggiornamenti (MS14-068 e MS14-075). La loro pubblicazione era stata pianificata da tempo ma la scoperta di alcuni bug “dell’ultim’ora” deve aver indotto i responsabili Microsoft a soprassedere.
La distribuzione dei due aggiornamenti, infatti, è stata ufficialmente posticipata a data da destinarsi.
Tra i vari aggiornamenti pubblicati questo mese, attualmente in fase di distribuzione attraverso Windows Update e gli altri canali Microsoft, l’update che desta maggiore preoccupazione è senza dubbio MS14-066.
Come abbiamo spiegato nell’articolo MS14-066, patch critica soprattutto in ambito server, l’aggiornamento MS14-066 dovrebbe essere immediatamente installato, soprattutto sui sistemi server.
Per “sistemi server” ci riferiamo non soltanto alle macchine Windows Server ma anche ai sistemi client (ad esempio Windows Vista, Windows 7, Windows 8, Windows 8.1) ove siano in esecuzione componenti server che restano in ascolto dei tentativi di connessione in ingresso: Aprire porte sul router e chiuderle quando non più necessario.
Esattamente come OpenSSL è l’implementazione dei protocolli SSL/TLS più utilizzata in ambito Unix/Linux, la libreria Schannel – oggetto dell’intervento correttivo – è la responsabile della gestione delle connessioni cifrate in ambiente Windows.
Microsoft ha spiegato che sfruttando la vulnerabilità sanabile mediante l’installazione della patch, un aggressore remoto può essere in grado di attaccare una macchina server Windows, senza necessità di effettuare alcun tipo di autenticazione.
Gli obiettivi primari degli aggressori sono quindi, evidentemente, server web e server di posta basati su Windows ma è comunque bene installare la patch non soltanto sulle macchine Windows Server ma sui quei sistemi client ove si è installato un qualche componente server che resta in ascolta delle richieste di connessione in ingresso.
Il consiglio, ancora una volta, è quello di installare immediatamente la patch MS14-066, soprattutto su macchine dotate di funzionalità server proprio perché la falla risolta viene considerata “wormable” ossia sfruttabile attraverso codice maligno capace di autoreplicarsi diffondendosi così a macchia d’olio.
Non è difficile ipotizzare, infatti, che dopo un’intensa attività di reverse engineering della patch (al momento Microsoft riferisce di non aver rilevato alcun attacco), nel giro di una settimana circa gruppi di criminali informatici possano arrivare alla stesura di un exploit pienamente funzionante.
Le altre patch più critiche sono MS14-064; MS14-065; MS14-067 e MS14-069.
Il primo ed il terzo aggiornamento consentono di scongiurare l’eventualità che possa essere eseguito codice nocivo visitando una pagina web dannosa con Internet Explorer; il secondo è un aggiornamento cumulativo per Internet Explorer (tutte le versioni); il quarto è destinato agli utenti di Office 2007 e permette di evitare l’esecuzione di codice dannoso nel momento in cui si provi ad aprire un documento malevolo.
L’elenco completo degli aggiornamento di sicurezza del mese di novembre è disponibile in questa pagina.
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 9 dicembre.
Come nota finale, è bene ricordare a chi utilizza il software anti-exploit Microsoft EMET 5.0 ed Internet Explorer 11, di passare subito alla più recente versione (5.1) di EMET.
Gli utenti di EMET 5.0 hanno infatti riscontrato diversi problemi con IE11 dopo l’installazione della patch MS14-065 (KB 3003057) di questo mese.