Microsoft Patch day novembre: otto bollettini fissano 19 vulnerabilità

Microsoft in occasione del suo Patch Day di Novembre ha rilasciato otto aggiornamenti di sicurezza per fissare 19 vulnerabilità nel suo software, che non includono la falla zero-day nel browser di Internet Explorer già sfruttata attivamente. Separatamente, Adobe ha rilasciato alcuni aggiornamenti critici che risolvono almeno due falle di sicurezza nel suo software Flash Player. Tre degli 8 aggiornamenti che Microsoft ha rilasciato sono contrassegnati come "critico", cioè vulnerabilità che possono essere sfruttate da malware o malfattori in remoto senza alcun aiuto da parte degli utenti di Windows, mentre i restanti come "importanti". 

Tra le patch critiche vi è un aggiornamento per Internet Explorer che ripara almeno due falle nel browser di default di Windows (incluso IE 11) e includono tutte le edizioni del sistema operativo, da Windows XP SP3 a Windows 8.1. I bollettini critici attirano sempre più l'attenzione, ma i 5 bollettini che sono di livello importante non devono essere ignorati. Anche se la valutazione più bassa significa che di solito la gravità di un exploit è minore o le probabilità di cadere preda di un attacco sono ridotte (ad esempio, perché l'attaccante deve indurre l'utente a compiere un'azione), le conseguenze possono essere comunque devastanti. Di seguito i bollettini sulla sicurezza di novembre in ordine di gravità.

• MS13-088 - Aggiornamento cumulativo per la protezione di Internet Explorer (2888505). Questo aggiornamento per la protezione risolve dieci vulnerabilità segnalate privatamente in Internet Explorer. Le più gravi vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare la più grave di queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema potrebbe essere inferiore rispetto a quelli che operano con privilegi di amministrazione. 

• MS13-089 - Una vulnerabilità in Windows Graphics Device Interface (GDI) può consentire l'esecuzione di codice remoto (2876331). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza o si apre un file appositamente predisposto in WordPad di Windows Scrivi. Un utente malintenzionato che sfrutti questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema potrebbe essere inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-090 - Aggiornamento cumulativo per la protezione dei kill bit ActiveX (2900986). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente che viene attualmente sfruttata. Esiste una vulnerabilità nel controllo ActiveX InformationCardSigninHelper Class (CVE-2013-3918). La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer, creando il controllo ActiveX. Gli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema potrebbe essere inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-091 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2885093). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un file di documento di WordPerfect appositamente predisposto viene aperto in una versione interessata di Microsoft Office. Un utente malintenzionato che riesca a sfruttare le vulnerabilità più gravi può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema potrebbe essere inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-092 - Una vulnerabilità in Hyper-V può consentire di privilegi più elevati (2893986). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato passa un parametro di funzione appositamente predisposto in un hypercall da una macchina virtuale in esecuzione esistente al hypervisor. La vulnerabilità potrebbe consentire negazione del servizio per l'host Hyper-V se l'attaccante passa un parametro di funzione appositamente predisposto in un hypercall da una macchina virtuale in esecuzione esistente al hypervisor.

• MS13-093 - Una vulnerabilità nel driver di funzioni ausiliario di Windows può consentire l'intercettazione di informazioni personali (2875783). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente malintenzionato accede al sistema interessato da un utente locale, ed esegue un'applicazione appositamente predisposta sul sistema che è stato progettato per consentire all'attaccante di ottenere informazioni da un account con privilegi superiori. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere in locale per sfruttare questa vulnerabilità.

• MS13-094 - Una vulnerabilità in Microsoft Outlook può consentire l'intercettazione di informazioni personali (2894514). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft Outlook. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente apre o visualizza in anteprima un messaggio di posta elettronica appositamente predisposto con una versione interessata di Microsoft Outlook. Un utente malintenzionato che sfrutti questa vulnerabilità può verificare le informazioni di sistema, come ad esempio l'indirizzo IP e le porte TCP aperte, dal sistema di destinazione e di altri sistemi che condividono la rete con il sistema di destinazione.

• MS13-095 - Una vulnerabilità in Firme digitali può consentire attacchi di tipo Denial of Service (2868626). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire negazione del servizio quando un servizio web interessata elabora un appositamente predisposto certificato X.509. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui i certificati X.509 appositamente predisposti vengono gestiti in Microsoft Windows. Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2013-3869.

Oltre alle patch di sicurezza, Microsoft ha rilasciato alcuni aggiornamenti che risolvono diversi problemi in Windows 8.1 e Windows RT 8.1. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.6, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Il prossimo appuntamento con il patch day è per martedì 10 dicembre 2013.

Icefog, la campagna di cyber spionaggio analizzata da Kaspersky Lab

Kaspersky Lab ha scoperto una nuova campagna APT volta a rubare i segreti dei governi e della catena di fornitura industriale, militare, dei media e aziende di tecnologia in Giappone e Sud Corea. Il team di security research di Kaspersky Lab ha pubblicato una nuova ricerca relativa alla scoperta di “Icefog”, un piccolo ma potente gruppo di APT che si concentra su obiettivi presenti in Corea del Sud e Giappone, colpendo le catene di approvvigionamento di aziende occidentali.

Microsoft Patch day settembre: tredici bollettini risolvono 50 vulnerabilità

In occasione del patch day di settembre, Microsoft ha rilasciato 13 bollettini di sicurezza che fissano 50 vulnerabilità. I primi quattro dei quali sono classificati come critici mentre i restanti nove come importanti. I quattro bollettini critici influenzano Sharepoint, Outlook, Internet Explorer e Windows 2003 e XP. Un aggiornamento cumulativo per la protezione di Internet Explorer permette di tappare dieci falle presenti nel browser Microsoft. Altri aggiornamenti riguardano la suite di applicazioni Office e la piattaforma .NET Framework. Di seguito i bollettini sulla sicurezza di settembre in ordine di gravità.

• MS13-067 - Alcune vulnerabilità in Microsoft SharePoint Server possono consentire l'esecuzione di codice in modalità remota (2834052). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente e nove vulnerabilità segnalate privatamente di Microsoft Office Server. La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota nel contesto dell'account del servizio W3WP se un utente malintenzionato invia contenuti appositamente predisposti al server interessato.

• MS13-068 - Una vulnerabilità in Microsoft Outlook può consentire l'esecuzione di codice in modalità remota (2756473). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Outlook. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre o visualizza in anteprima un messaggio di posta elettronica appositamente predisposto che utilizza un'edizione interessata di Microsoft Outlook. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-069 - Aggiornamento cumulativo per la protezione di Internet Explorer (2870699). Questo aggiornamento per la protezione risolve dieci vulnerabilità in Internet Explorer segnalate privatamente. Le vulnerabilità con gli effetti più gravi sulla protezione possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta in Internet Explorer. Sfruttando la più grave di tali vulnerabilità, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-070 - Una vulnerabilità in OLE può consentire l'esecuzione di codice in modalità remota (2876217). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente apre un file che contiene un oggetto OLE appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-071 - Una vulnerabilità nel file dei temi di Windows può consentire l'esecuzione di codice in modalità remota (2864063). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente applica un tema di Windows appositamente predisposto al sistema in uso. In nessuno di questi casi un utente può essere forzato ad aprire il file o applicare il tema; affinché un attacco riesca, l'utente deve eseguire l'operazione in maniera consapevole.

• MS13-072 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2845537). Questo aggiornamento per la protezione risolve tredici vulnerabilità segnalate privatamente relative a Microsoft Office. Le vulnerabilità più gravi possono consentire l'esecuzione di codice in modalità remota se un file appositamente predisposto è aperto in una versione interessata del software Microsoft Office. Sfruttando le vulnerabilità più gravi, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. 

• MS13-073 - Alcune vulnerabilità di Microsoft Excel possono consentire l'esecuzione di codice in modalità remota (2858300). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità più gravi possono consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office appositamente predisposto con una versione interessata di Microsoft Excel o con altro software di Microsoft Office interessato. Sfruttando le vulnerabilità più gravi, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. 

• MS13-074 - Alcune vulnerabilità in Microsoft Access possono consentire l'esecuzione di codice in modalità remota (2848637). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente apre un file di Access appositamente predisposto con una versione interessata di Microsoft Access. Sfruttando tale vulnerabilità, un utente malintenzionato potrebbe acquisire gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

• MS13-075 - Una vulnerabilità in Microsoft Office IME (cinese) può consentire l'acquisizione di privilegi più elevati (2878687). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Office IME (cinese) che è stata segnalata privatamente. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato effettua l'accesso e avvia Internet Explorer dalla barra degli strumenti in Microsoft Pinyin IME per il cinese semplificato. Un utente malintenzionato in grado di sfruttare questa vulnerabilità può eseguire codice arbitrario in modalità kernel. Questi è in grado di installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti amministrativi completi. Solo le implementazioni di Microsoft Pinyin IME 2010 sono interessate da questa vulnerabilità. Le altre versioni dell'IME per il cinese semplificato e le altre implementazioni IME non sono interessate. 

• MS13-076 - Alcune vulnerabilità nei driver in modalità kernel possono consentire l'acquisizione di privilegi più elevati (2876315). Questo aggiornamento per la protezione risolve sette vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità possono consentire l'acquisizione di privilegi più elevati se un utente malintenzionato accede al sistema ed esegue un'applicazione appositamente predisposta. Per sfruttare tali vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere in locale. 

• MS13-077 - Una vulnerabilità legata alla Gestione controllo servizi di Windows può consentire l'acquisizione di privilegi più elevati (2872339). Questo aggiornamento per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità può consentire l'acquisizione di privilegi più elevati se un utente autenticato viene convinto a eseguire un'applicazione appositamente predisposta. Per sfruttare questa vulnerabilità, un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente o deve convincere un utente a eseguire un'applicazione appositamente predisposta. 

• MS13-078 - Una vulnerabilità in FrontPage può consentire l'intercettazione di informazioni personali (2825621). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Front Page. Questa vulnerabilità può consentire l'intercettazione di informazioni personali se un utente apre un documento di FrontPage appositamente predisposto. La vulnerabilità non può essere sfruttata automaticamente; l'attacco è possibile solo se l'utente viene convinto ad aprire il documento appositamente predisposto.

• MS13-079 - Una vulnerabilità in Active Directory può consentire un attacco di tipo Denial of Service (2853587). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Active Directory. La vulnerabilità può consentire un attacco di tipo Denial of Service se un utente malintenzionato invia una query appositamente predisposta al servizio di LDAP (Lightweight Directory Access Protocol). 

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.4, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Microsoft ha aggiunto la capacità di individuare e rimuovere i malware: EyeStye e Poison. Il prossimo appuntamento con il patch day è per martedì 8 ottobre 2013.

Vulnerabilità consente furto account Hotmail sottraendo cookie autenticazione

I ricercatori di sicurezza Mohit Kumar e Christy Philip Mathew hanno scoperto che una vulnerabilità di gestione dei cookie consente ai criminali informatici di accedere agli account degli utenti Hotmail e di Outlook. Gli esperti hanno dimostrato che un utente malintenzionato che può accedere ai cookie di autenticazione può semplicemente importarli nel browser utilizzando un componente aggiuntivo "cookie importer" per browser e il cracker sarà automaticamente registrato per conto della sua vittima, quando accede a uno dei servizi Microsoft.