Microsoft Patch day gennaio: 8 bollettini chiudono 8 bug ma non solo

Questo Patch Day è diverso dai suoi predecessori sotto alcuni aspetti. La scorsa settimana Microsoft ha annunciato che non avrebbe più fornito il suo Advance Notification Service (ANS), fornendo le informazioni preventive di aggiornamento di sicurezza mensili solo ai clienti con contratti pagati e alle organizzazioni che collaborano al Microsoft Active Protections Program (MAPP). Redmond ha spiegato che si tratta di una scelta legata ad una "evoluzione" del servizio e al comportamento degli utenti. Il suo servizio di notifica anticipata è stato creato più di un decennio fa come parte dell'aggiornamento Tuesday comunicato dall'azienda anticipatamente.

Vulnerabilità in ASP.NET può consentire attacco DDos, patch a breve

Il 29 dicembre 2011, alle 10:00 ora del Pacifico Microsoft rilascerà un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service (DDoS) su server che servono pagine ASP.NET. Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash.

Ed ha osservato: "[La vulnerabilità] interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui ​​server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash. E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio [DDos]". Anche se le informazioni sono già all'esterno e gli hacker potrebbero approfittarne, Microsoft è a conoscenza di attacchi attivi che si basano su questo difetto.

Fino a quando l'aggiornamento non verrà rilasciato, gli utenti dovrebbero sapere che per default IIS non è abilitato per le versioni attualmente supportate dal sistema operativo e i siti che non consentono application / x-www-form-urlencoded o multipart / form-data di contenuto types HTTP non sono suscettibili di un attacco. Fondamentalmente, i siti che servono solo contenuto statico o quelli che respingeono i tipi di contenuti dinamici di cui sopra non sono vulnerabili. Per aggirare il problema, Microsoft ha suggerito agli operatori Web configurare il limite della dimensione massima richiesta che ASP.NET accetta da un cliente, pena la diminuzione della suscettibilità di tali attacchi. Microsoft ha lavorato con i partner nel suo Active Protections Program (MAPP).

L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit. A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato sul suo blog tedesco la scorsa settimana, è improbabile che qualcosa verrà rilasciata molto presto. Michael Kranawetter non ha fornito altri dettagli ed ha detto che "le indagini sono ancora in corso, perchè i passi necessari da intraprendere non sono ancora stati definiti". Il gigante del software pubblicherà una patch, una volta completa la sua indagine.

Informazioni su ASP.NET

ASP.NET è una tecnologia Microsoft che lavora con file compilato interpretato dal server e restituito come HTML. ASP.NET è molto produttivo per quanto riguarda lo sviluppo di Web applicazioni. La migliore programmazione enviroment per la maggior parte delle applicazioni web è ASP.NET. Per applicazioni Web, ASP.NET consente l'utilizzo di Visual Studio, che offre molti vantaggi e aiuta il programmatore a creare applicazioni in modo rapido. Lo sviluppo di applicazioni Web, ad esempio con Java, richiede più tempo per la sua maggiore difficoltà, e questo si traduce in minor produttività. Inoltre, le innumerevoli componenti ASP.NET sono già disponibili per l'uso, e questa disponibiltà diminuisce anche il tempo necessario per lo sviluppo di una nuova applicazione.

Microsoft neutralizza Kelihos, distribuiva malware e farmaci pericolosi

Si chiama Kelihos l'ultima botnet neutralizzata da Microsoft nelle ultime settimane con un'operazione condotta anche con l'aiuto della corte distrettuale di Richmond. "Basandoci sui recenti successi dei takedown delle botnet Rustock e Waledac, sono lieto di annunciare che Microsoft ha rimosso le botnet Kelihos in una operazione con il  nome in codice "Operazione b79" con analoghe misure giuridiche e tecniche che hanno portato al nostro successo del takedown delle precedenti botne", scrive Richard Boscovich Domingues procuratore Senior di Microsoft Digital Crimes Unit.

Kelihos, conosciuta anche da alcuni come "Waledac 2.0" dato il suo sospetto legame con la prima botnet che Microsoft ha messo giù, non è così massiccia come la spambot Rustock. Tuttavia, questa rimozione rappresenta comunque un significativo passo avanti nella lotta di Microsoft contro le botnet. Con questa rimozione è la prima volta che Microsoft ha nominato un soggetto in una delle sue cause civili che coinvolgono una botnet e all'imputato sono stati notificati personalmente le azioni legali il 26 settembre scorso. Il takedown di Kelihos intende inviare un messaggio forte a coloro che dietro le botnet provano con poca saggezza ad aggiornare semplicemente il proprio codice e ricostruire una botnet, una volta che viene smantellata.

Quando Microsoft manda una botnet giù, ha intenzione di mantenere il passo e continuerà ad agire per proteggere i propri clienti e le piattaforme e individuare i responsabili delle loro fastidiose azioni. Nel reclamo, Microsoft sostiene che Dominique Alexander Piatti e 22 anonimi "John Doe" della ceca dotFREE Group SRO, possedevano un dominio cz.cc e utilizzavano cz.cc per registrare altri sottodomini come lewgdooi.cz.cc utilizzato per azionare e controllare la botnet Kelihos. L'inchiesta di Microsoft ha rivelato che mentre alcuni dei sottodomini del convenuto possono essere legittimi, molti sono stati usati per scopi discutibili con link a una varietà di malfamate attività online.

Per esempio, l'indagine ha rivelato che oltre ad ospitare Kelihos, il dominio cz.cc imputato è già stato indagato per i sottodomini di hosting responsabili della consegna di MacDefender, un tipo di scareware che infetta il sistema operativo di Apple. Inoltre, nel maggio 2011, Google ha temporaneamente bloccato i sottodomini ospitati dal dominio cz.cc dai suoi risultati di ricerca dopo aver scoperto che erano hosting di malware, anche se i sottodomini sono stati reintegrati da Google dopo che il convenuto ha risolto il problema.

Microsoft sostiene inoltre che gli imputati Dominique Alexander Piatti e John Doe sono stati operatori delle botnet Waledac e Rustock per installare nei computer del software dannoso, che ha permesso alla botnet di controllare surrettiziamente il computer di una persona e utilizzarlo per una serie di attività illegali, tra cui l'invio di miliardi di messaggi spam, la raccolta dei dati personali degli utenti infetti da Kelihos (come ad esempio le e-mail e password), truffe fraudolente di aziende e, in alcuni, casi, siti web per la promozione di materiale per lo sfruttamento sessuale dei bambini.

Simile a Rustock, alcuni dei messaggi di spam hanno anche promosso vendite senza licenza di farmaci generici contraffatti o non approvati potenzialmente pericolosi e vendite non regolamentari di droghe. Kelihos anche abusato di Microsoft Hotmail e del sistema operativo Windows per svolgere queste attività illegali. Il 22 settembre scorso, Microsoft ha presentato la richiesta con l'ordine restrittivo temporaneo alla US District Court per il Distretto Orientale della Virginia contro Dominique Alexander Piatti e i 22 John Doe del  dotFREE Group SRO. Il Tribunale ha accolto la richiesta, che ha permesso di tagliare i collegamenti tra la nota botnet Kelihos e i "computer zombie", sotto il controllo dell'individuo.

Subito dopo la rimozione il 26 settembre, Microsoft ha individuato che Dominique Alexander Piatti, vive e svolge la sua attività dotFREE Group SRO nella Repubblica Ceca e, con avviso di querela ha avviato le discussioni con il signor Piatti per determinare quale dei suoi sottodomini sono stati usati per attività legittime, così è stato possibile riottenerli di nuovo online nel più breve tempo possibile. Microsoft ha anche iniziato a concentrare i propri sforzi per individuare gli altri imputati John Doe in questo caso, e continuerà attivamente la sua indagine per saperne di più sulle persone che stanno dietro questa botnet.

Dare un nome agli imputati in questo caso segna un grande passo avanti per Microsoft nel suo impegno a proteggere in modo aggressivo la propria piattaforma e i clienti contro gli abusi da chiunque e ovunque possano provenire. Il nome di questi imputati aiuta anche comprendere come il crimine informatico è abilitato quando i fornitori di dominio e altri fornitori di infrastrutture informatiche non riescono a conoscere i loro clienti. Senza una infrastruttura di dominio come quella che ha presumibilmente ha ospitato il signor Piatti e la sua compagnia, gli operatori di botnet e altri fornitori di truffe e malware avrebbero molta più difficoltà ad operare in modo anonimo e fuori di vista. Mandando giù le infrastrutture botnet, da Redmond sperano che ciò aiuterà a scoraggiare ed aumentare il costo per commettere crimini informatici.

Inoltre, questo caso mette in luce un problema a livello di settore riguardante l'utilizzo di sottodomini. Secondo la legge degli Stati Uniti, anche gli intermediari pedina del crimine informatico che sono proprietari di domini, sono regolati in maniera più efficace per impedire la rivendita di beni rubati al fine di impedire l'uso delle loro proprietà digitali. Per esempio, gli operatori banco dei pegni devono richiedere un nome, l'indirizzo e la corretta identificazione da parte dei clienti, mentre invece non vi sono attualmente i requisiti che richiedono agli host del dominio di sapere nulla delle persone che utilizzano il loro sottodomini, rendendo semplice per i proprietari di domini guardare dall'altra parte.

Attraverso questo caso, Microsoft spera di dimostrare che se i proprietari di domini non si ritengono responsabili di conoscere i loro clienti, essi saranno ritenuti responsabili per ciò che sta accadendo sulla loro infrastruttura. L'obiettivo della società è che questo caso possa stimolare l'industria a livello di discussione per le pratiche di sottodominio più pubbliche e renda conto di registrazione per consentire un uso più sicuro di Internet per tutti gli utenti. Il takedown della botnet Kelihos rappresenta un elemento importante nell'attività di lotta alle botnet. L'analisi di Microsoft del botnet Kelihos ha mostrato che grandi porzioni di codice Kelihos sono stati condivisi con Waledac, il che suggerisce che Kelihos era parte dello stessa o che il codice è stato ottenuto, aggiornato e riutilizzato.

Una volta imparato il rapporto apparente Waledac, Microsoft ha subito iniziato a sviluppare un piano per togliere Kelihos con analoghe misure tecniche. Anche se, Kelihos era considerata una botnet relativamente piccola (le indagini di Microsoft fino ad oggi indicano che circa 41.000 computer in tutto il mondo sono stati infettati con Kelihos, e che Kelihos era in grado di inviare 3.800.000.000 e-mail spam al giorno) e non ci si aspetta che la sua interruzione possa avere un vasto impatto su Internet dopo il takedown, ma questa decisione è stata presa prima che la botnet potesse avere l'opportunità di crescere ulteriormente e perché Microsoft crede che che la responsabilità sia importante.

Ripulire i computer infettati dal malware della botnet è anche una parte molto importante di ogni operazione di Microsoft per il takedown della botnet, e sta progettando di lavorare con gli Internet Service Provider (ISP) e il Community Emergency Response Teams (CERT) per riparare i danni causati da Kelihos come ha fatto con Rustock e Waledac. Per aiutare questo processo, il Microsoft Malware Protection Center ha aggiunto la famiglia Win/32 Kelihos in una seconda release dello Strumento di rimozione malware per ridurre al minimo l'impatto futuro del malware. E, come ha sempre fatto fin dall'inizio della sua iniziativa di takedown delle botnet, Microsoft continua a fornire gli strumenti gratuiti e le informazioni per aiutare i clienti a tenere puliti e riprendere il controllo dei loro computer all'indirizzo http://support.microsoft.com/botnets.

L'Operazione b79 di Microsoft è il terzo progetto dell'iniziativa MARS (Microsoft Active Response for Security). Il progetto MARS è un programma guidato dalla Microsoft Digital Crimes Unit, in stretta collaborazione con il Microsoft Malware Protection Center e il team di Trustworthy Computing per annientare le botnet e far progredire la sicurezza di Internet per tutti. Microsoft impara nuove importanti informazioni sulla minaccia globale dalle botnet durante ogni takedown, e continuerà a condividere le informazioni sulle minacce acquisite in questo sforzo con clienti, partner e la comunità globale per interrompere ulteriormente tutto il mondo della criminalità informatica. "Rilevare le botnet richiede uno sforzo collaborativo e nessuna singola organizzazione può farlo da sola. Vorremmo ringraziare tutti coloro che hanno contribuito a sostenere questo takedown e precedenti, tra cui Kyrus Tech Inc., che fungeva da dichiarante nel caso legale che ha permesso questa rimozione", conclude Boscovich.

Vulnerabilità kernel, Microsoft pubblica un workaround contro Duqu

Microsoft ha pubblicato un advisory di sicurezza (2639658) con il quale annuncia la disponibilità di un workaround per affrontare temporaneamente la recente vulnerabilità del kernel Windows (CVE-2011-3402), sfruttata dal malware Duqu e rivelata da Symantec. "Microsoft sta studiando una vulnerabilità in un componente di Microsoft Windows, presente nel motore di analisi dei fonti di carattere TrueType Win 32k. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi". 

"Siamo consapevoli di attacchi mirati che tentano di utilizzare la vulnerabilità segnalata, in generale, vediamo basso impatto clienti in questo momento. Questa vulnerabilità è legata al malware Duqu. Al termine di questa indagine, Microsoft intraprenderà le azioni appropriate per proteggere i nostri clienti. Questo può includere un aggiornamento di sicurezza attraverso il nostro processo di rilascio mensile oppure un out-of-cycle di aggiornamento della protezione, a seconda delle esigenze del cliente. Stiamo lavorando attivamente con i partner nel nostro Microsoft Active Protections Program (MAPP) per fornire informazioni che possano fornire più ampie tutele ai clienti", si legge nel comunicato di Microsoft pubblicato giovedì 3 novembre.

Vista la pericolosità della minaccia, Microsoft ha deciso di pubblicare un aggiornamento temporaneo, in attesa del rilascio di una patch "definitiva", vale a dire un fix che consente di disabilitare l’accesso alla libreria vulnerabile (T2EMBED.DLL) e risolvere temporaneamente il problema. "Oggi è stato rilasciato il Security Advisory 2639568 per fornire una guida ai clienti per il rilascio del kernel di Windows relative a malware Duqu. Desidero fornire informazioni su come proteggere il vostro sistema, come stiamo affrontando la questione, e la nostra capacità di monitorare e comprendere il panorama delle minacce. Il testo del documento fornisce una soluzione che può essere applicata a qualsiasi sistema Windows. 

Per rendere più facile l'installazione ai clienti, abbiamo rilasciato un Fix it che permetterà la soluzione con un solo clic e un modo semplice di implementazione per le imprese. Per proteggere ulteriormente i clienti, abbiamo fornito i nostri partner nel Microsoft Active Protections Program (MAPP) di informazioni dettagliate su come costruire il rilevamento per i loro prodotti di sicurezza. Ciò significa che entro poche ore, le aziende anti-malware lanceranno le nuove firme per rilevare e bloccare i tentativi di sfruttamento di questa vulnerabilità. Perciò incoraggiamo i clienti di assicurarsi che il proprio software antivirus sia aggiornato", scrive Jerry Bryant, responsabile delle comunicazioni di Microsoft TechNet.

Il Fix It è disponibile a questa pagina del supporto tecnico di Mircrosft ed è scaricabile cliccando direttamente qui. Il team di progettazione di Redmond  ha determinato la causa principale di questa vulnerabilità, e sta lavorando per produrre un aggiornamento della protezione per affrontarla.  Microsoft sottolinea che la vulnerabilità non può essere sfruttata automaticamente attraverso una email, ma solo se l’utente esegue un allegato Word. Microsoft ha in programma di rilasciare l'aggiornamento della protezione tramite il processo di sicurezza elettronica, anche se non è certo se sarà pronto nel rilascio dei bollettini di questo mese. 

Come ha affermato da Microsoft in precedenza, il rischio per i clienti rimane basso. Tuttavia, la società invita gli utenti ad applicare la soluzione alternativa e di tenere aggiornata la propria soluzione anti-virus, per assicurare protezione per questo problema. Gli amministratori di rete possono installare l'aggiornamento su quei sistemi che sono più a rischio oppure che contengono dati sensibili adottando così una misura cautelativa prima del rilascio della patch ufficiale.