Il team di esperti di Kaspersky Lab ha pubblicato un report dettagliato che analizza la campagna di spionaggio informatico condotta dall'organizzazione criminale nota come "Winnti". Secondo il report di Kaspersky Lab, il gruppo Winnti attacca le aziende del settore del gaming online dal 2009 ed è ancora attivo. Gli obiettivi del gruppo sono i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi online. Il primo incidente risale all’autunno del 2011, quando un trojan venne rilevato su un numero di computer di utenti localizzati in tutto il mondo.
Microsoft ha fissato 15 vulnerabilità in cinque bollettini di sicurezza come parte della sua release del Patch Tuesday di settembre. Microsoft ha ufficialmente rilasciato i bollettini sulla sicurezza e le patch che accompagnano il 13 settembre. Le patch riguardano tutte le versioni di Windows attualmente supportate, Microsoft Office, dalla versione 2003 a quella 2010 SP1, Microsoft Office SharePoint Server, Microsoft Office Forms Server, Microsoft Groove Server, Microsoft Office Web Apps, Windows SharePoint Services e Microsoft SharePoint Foundation.
Nessuna delle patch in aggiornamento per questo mese sono considerate "critiche". "Anche se non ci sono aggiornamenti critici per questo mese, queste vulnerabilità possono aprire la strada ai cyber-criminali per eseguire attacchi più gravi, come l'esecuzione di codice remoto a distanza e divulgazione di informazioni", ha detto a eWEEK Dave Marcus, direttore della ricerca sulla sicurezza e le comunicazioni di McAfee Labs. Il bollettino che ha fissato una vulnerabilità legata all'esecuzione di codice arbitrario in Excel (MS11-072) è stato valutato come priorità dai ricercatori di sicurezza.
Il problema esiste in tutte le versioni di Excel, compresa la 2010. I pirati informatici potrebbero creare dei file maligni Excel per prendere il controllo del sistema semplicemente inducendo un utente inconsapevole all'apertura di essi, secondo Wolfgang Kandek, CTO di Qualys. Alla luce dei continui e mirati attacchi di spear-phishing che hanno usato documenti Excel e collegamenti maligni, il bollettino è stato "il più rilevante e importante", ha scritto sul blog Securelist, Kurt Baumgartner, ricercatore di sicurezza di Kaspersky Lab.
La patch che fissa la vulnerabilità del codice di esecuzione nelle versioni di Microsoft Office 2003, 2007 e 2010 (MS11-073), tra cui Microsoft Word, dovrebbero avere la priorità, secondo Kandek. Come per la vulnerabilità di Excel, gli aggressori possono utilizzare un file Word maligno, un vettore di attacco comune, per eseguire codice sulle macchine delle vittime, Kandek ha scritto sul blog Laws of Vulnerabilities. Microsoft continua a sistemare la questione DLL preloading (DLL load hijacking) che è stata identificata lo scorso anno in ciascuno dei suoi prodotti. In questo aggiornamento, il problema è stato risolto nel componente deskpen.dll (MS11-071).
Il bug DLL preloading colpisce tutte le versioni di Windows, secondo il Microsoft Security Advisory. Le patch per Sharepoint 2007, SharePoint 2010 (MS11-074) e Windows Internet Name Service (WINS) per Windows Server 2003 e Server 2008 fissano problemi di elevazione dei privilegi (MS11-070). I ricercatori di Core Security Technologies hanno scoperto e segnalato la vulnerabilità WINS. Un utente malintenzionato potrebbe sfruttare il sistema che esegue il servizio WINS senza patch per elevare i privilegi con l'invio all'utente di un pacchetto di replica WINS appositamente predisposto.
L'attaccante deve avere validate le credenziali di accesso ed essere in grado di accedere localmente per sfruttare questa vulnerabilità. Queste patch "si applicano solo per certe configurazioni software", ha detto Tyler Reguly, responsabile tecnico della ricerca sulla sicurezza e sviluppo per nCircle. Microsoft ha anche rilasciato un nuovo aggiornamento per revocare 6 certificati digitali firmati da Entrust e Cybertrust, emessi per conto della compromessa autorità di certificazione DigiNotar. La società ha inoltre aggiornato Internet Explorer subito dopo che la breccia di DigiNotar è stata pubblicizzata.
Gli aggiornamenti sono disponibili mediante l’apposito sistema di update incluso all’interno del sistema operativo di Redmond, oppure direttamente nella pagina del bollettino. Per ulteriori informazioni sul servizio di notifica bollettino di anticipo, vedere Microsoft Security Bulletin Advance Notification. A corollario del patch day di settembre, come consuetudine, Microsoft ha rilasciato anche un nuovo aggiornamento per il suo Strumento di rimozione malware (KB890830), giunto alla versione 4.0. Il prossimo appuntamento con il "patch day" di Microsoft è fissato per martedì 11 ottobre.
