Come parte del suo Patch Day di ottobre, Microsoft ha rilasciato otto bollettini di sicurezza, tre dei quali considerati di livello critico e cinque importanti, che affrontano 24 vulnerabilità in Windows, Office, .NET Framework, .ASP.NET, e Internet Explorer. iSight Partners ha pubblicato la ricerca su una minaccia denominata "Sandworm" che sfrutta una vulnerabilità nella fase di patch odierna. iSight ha scoperto che hacker russi hanno condotto campagne di spionaggio informatico utilizzando la falla, apparentemente presente in ogni versione supportata di Windows (XP non è influenzato).
L'attacco ha usato email di phishing contenenti un documento PowerPoint maligno che è stato creato per sfruttare la nuova vulnerabilità. Secondo iSight il difetto è stato utilizzato in attacchi e-mail di spear-phisihng mirati che hanno colpito la Nato, organizzazioni governative ucraine e occidentali, imprese europee di telecomunicazione e del settore energetico. La campagna ha coinciso con il vertice Nato in Galles che si è concentrato sul conflitto in Ucraina, hanno detto i ricercatori iSight. Il bug colpisce le versioni da Windows Vista al software più recente di Microsoft, Windows 8.1.
Dopo che l'exploit è stato condiviso con Microsoft all'inizio di settembre, è stato determinato che la vulnerabilità zero-day si trova nel gestore di pacchetti Object Linking and Embedding (OLE). Separatamente, Adobe ha rilasciato il consueto giro di aggiornamenti che risolvono tre buchi di sicurezza nei suoi prodotti Flash Player e AIR. Infine, Oracle ha rilasciato un aggiornamento per il suo software Java che corregge più di due dozzine di falle nel software, molte delle quali possono essere sfruttate da remoto senza autenticazione. Di seguito i bollettini di Microsoft sulla sicurezza di ottobre in ordine di gravità.
• MS14-056 - Aggiornamento cumulativo per la protezione di Internet Explorer (2987107). Questo aggiornamento risolve 14 vulnerabilità in IE. La vulnerabilità con gli effetti più gravi può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta in Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, gli utenti con account che dispongono solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS14-057 - Alcune vulnerabilità in .NET Framework possono consentire l'esecuzione di codice in modalità remota (3000414). Questo aggiornamento risolve tre vulnerabilità in Microsoft .NET Framework. La più grave di queste può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia una richiesta URI contenente caratteri internazionali a un'applicazione Web .NET. Nelle applicazioni .NET 4.0, la funzionalità vulnerabile (iriParsing) è disattivata per impostazione predefinita, mentre nelle applicazioni .NET 4.5 è abilitata e non può essere disabilitata.
• MS14-058 - Una vulnerabilità nei driver in modalità kernel può consentire l'esecuzione di codice in modalità remota (3000061). Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Windows. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato riesce a convincere un utente ad aprire un documento appositamente predisposto o a visitare un sito Web che contiene caratteri TrueType incorporati, in genere inducendolo a fare clic su un link in un messaggio email o Instant Messenger.
• MS14-059 - Una vulnerabilità in ASP.NET MVC può consentire l'elusione della funzione di protezione (2990942). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente di ASP.NET MVC. La vulnerabilità CVE-2014-4075 può consentire l'elusione della funzione di protezione se un malintenzionato riesce a convincere un utente a fare clic su un link predisposto o a visitare una pagina Web. Un utente malintenzionato potrebbe pubblicare un sito Web predisposto per sfruttare tale vulnerabilità tramite un browser Web, e convincere un utente a visualizzarlo.
• MS14-060 - Una vulnerabilità in Windows OLE può consentire l'esecuzione di codice in modalità remota (3000869). Questo aggiornamento risolve la vulnerabilità CVE-2014-4114 segnalata privatamente, che potrebbe consentire l'esecuzione di codice in modalità remota se un utente apre un file Microsoft Office che contiene un oggetto OLE appositamente predisposto. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti il bug riuscirebbe a installare programmi o a visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
• MS14-061 - Una vulnerabilità in Microsoft Word e nelle applicazioni Web di Office può consentire l'esecuzione di codice in modalità remota (3000434). Questo aggiornamento risolve a vulnerabilità CVE-2014-4117 di Microsoft Office che può consentire l'esecuzione di codice in modalità remota nel caso in cui un utente malintenzionato riesce a convincere un utente ad aprire un file di Microsoft Word appositamente predisposto. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti tale bug potrebbe acquisire gli stessi diritti utente dell'utente corrente.
• MS14-062 - Una vulnerabilità in Accodamento messaggi può consentire l'acquisizione di privilegi più elevati (2993254). Questo aggiornamento risolve la vulnerabilità CVE-2014-4971 che può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato invia una richiesta di controllo input/output (IOCTL) appositamente predisposta al servizio di Message Queuing. Lo sfruttamento di questa vulnerabilità può portare ad un accesso completo al sistema interessato. Sono esposti a questa vulnerabilità solo gli utenti che con privilegi amministrativi attivano manualmente il componente.
• MS14-063 - Una vulnerabilità nel driver di partizione del disco FAT32 può consentire l'acquisizione di privilegi più elevati (2998579). Questo aggiornamento risolve una vulnerabilità di Windows, segnalata privatamente, relativa all'acquisizione di privilegi più elevati nel modo in cui il driver di sistema Windows FASTFAT interagisce con le partizioni del disco FAT32. Sfruttando la vulnerabilità CVE-2014-4115, un utente malintenzionato può eseguire codice arbitrario con privilegi elevati. L'aggiornamento modifica il modo in cui viene allocata la memoria quando si richiama una funzione specifica.
Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.17, per consentire l'eliminazione di software dannosi. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è per martedì 11 novembre 2014.
Nessun commento:
Posta un commento