Come parte del suo Patch Day di marzo, Microsoft ha rilasciato 14 bollettini di sicurezza, cinque dei quali considerati di livello critico e i restanti di livello importante, per affrontare 45 vulnerabilità in Windows, Office ed Exchange, Internet Explorer e una patch per la recente divulgazione dell'attacco Freak. Microsoft ha anche rilasciato un advisory in cui annuncia che è stato aggiunto il supporto per la funzionalità di firma e verifica SHA-2 code a tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2. Le versioni successive dei sistemi operativi desktop, server e RT di Windows già includono il supporto per firma e verifica SHA-2.
Il bollettino di più alto profilo, tuttavia, è quello che risolve alcuni problemi lasciati dalla patch Stuxnet pubblicata originariamente nell'agosto 2010. Il problema è stato segnalato a Zero Day Initiative (ZDI) di Hewlett Packard, che ha lavorato con Microsoft per realizzare un proof of concept exploit che è stato utilizzato per creare una nuova patch. Il bollettino copre due vulnerabilità di esecuzione di codice remoto, uno rivolgendosi al modo in cui Windows gestisce il carico di file DLL, e le altre patch come Windows Test Service gestisce impropriamente gli oggetti nella memoria. Di seguito i bollettini di Microsoft sulla sicurezza di marzo in ordine di gravità.
• MS15-018 - Aggiornamento cumulativo per la protezione di Internet Explorer (3032359). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Internet Explorer. La più grave delle vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS15-019 - Una vulnerabilità nel motore di script VBScript potrebbe consentire l'esecuzione di codice remoto (3040297). Questo aggiornamento per la protezione risolve una vulnerabilità nel motore di script VBScript in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente visita un sito Web appositamente predisposto. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato.
• MS15-020 - Alcune vulnerabilità in Microsoft Windows possono consentire l'esecuzione di codice remoto (3041836) . Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Windows. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente malintenzionato convince con successo un utente a visitare un sito Web appositamente predisposto, aprire un file appositamente predisposto, o selezionare una directory di lavoro che contiene un file DLL appositamente predisposto. Se un utente visualizza una cartella o directory con un file dannoso .Ink, l'exploit consentirebbe al malintenzionato di eseguire codice non autorizzato da remoto.
• MS15-021 - Alcune vulnerabilità in Adobe Font driver potrebbero consentire l'esecuzione di codice remoto (3032323). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente visualizza un file appositamente predisposto o un sito web. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe assumere il controllo completo del sistema interessato. La vulnerabilità è dovuta alle restrizioni di sicurezza improprie imposte dal software interessato che potrebbero consentire l'esposizione del contenuto della memoria.
• MS15-022 - Alcune vulnerabilità in Microsoft Office potrebbero consentire l'esecuzione di codice in modalità remota (3038999). Questo aggiornamento risolve diverse vulnerabilità in Office. La più grave delle vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente apre un file di Microsoft Office appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema sono esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS15-023 - Alcune vulnerabilità nei driver in modalità kernel potrebbero consentire di privilegi più elevati (3034344). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema ed esegue un'applicazione appositamente predisposta progettata per aumentare i privilegi. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati o creare nuovi account con diritti amministrativi completi.
• MS15-024 - Una vulnerabilità nell'elaborazione del formato PNG potrebbe consentire l'intercettazione di informazioni personali (3035132). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'intercettazione di informazioni personali se un utente malintenzionato convince un utente a visitare un sito web che contiene immagini PNG appositamente predisposte. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Windows elabora i file in formato immagine PNG.
• MS15-025 - Le vulnerabilità del kernel di Windows potrebbero consentire l'elevazione dei privilegi più elevati (3038680). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto di protezione dell'account di un altro utente che ha avuto accesso al sistema interessato.
• MS15-026 - Alcune vulnerabilità in Microsoft Exchange Server possono consentire di privilegi più elevati (3040856). Questo aggiornamento per la protezione risolve diverse vulnerabilità in Microsoft Exchange Server. La più grave delle vulnerabilità può consentire l'elevazione dei privilegi se un utente fa clic su un URL appositamente predisposto che lo porta a un sito Outlook Web App mirato. L'utente malintenzionato dovrebbe convincere le vittime a visitare il sito, in genere inducendole a fare clic su un link in un messaggio di posta elettronica o di messaggistica istantanea che li porta al sito web dell'aggressore, e poi convincerli a fare clic su URL appositamente predisposto.
• MS15-027 - Una vulnerabilità in NetLogon potrebbe consentire attacchi di spoofing (3002657). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire lo spoofing se un utente malintenzionato connesso in un sistema del dominio esegue un'applicazione appositamente predisposta che potrebbe stabilire una connessione con gli altri sistemi di un dominio, come l'utente o il sistema rappresentato. L'attaccante deve essere registrato su un sistema al dominio ed essere in grado di osservare il traffico di rete.
• MS15-028 - Una vulnerabilità in Windows Task Scheduler potrebbe consentire Feature Security Bypass (3030377). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire a un utente con privilegi limitati sul sistema interessato di sfruttare Task Scheduler per eseguire i file che non dispongono delle autorizzazioni per l'esecuzione. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe ignorare controlli ACL e eseguire file eseguibili privilegiati.
• MS15-029 - Una vulnerabilità in Windows Photo Decoder Component potrebbe consentire l'intercettazione di informazioni personali (3035126). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'intercettazione di informazioni personali se un utente accede a un sito web contenente un'immagine appositamente predisposta JPEG XR (.JXR). Questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o elevare direttamente i loro diritti utente, ma potrebbe essere utilizzata per ottenere informazioni che potrebbero essere utilizzati al fine di compromettere ulteriormente il sistema interessato.
• MS15-030 - Una vulnerabilità in Remote Desktop Protocol potrebbe consentire Denial of Service (3039976). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire un attacco Denial of Service se un utente malintenzionato crea più sessioni Remote Desktop Protocol (RDP) che non riescono ad allocare correttamente gli oggetti liberi in memoria. Per impostazione predefinita, RDP non è abilitato su qualsiasi sistema operativo Windows. I sistemi che non hanno RDP attivato non sono a rischio.
• MS15-031 - Una vulnerabilità in Schannel può consentire Feature Security Bypass (3046049). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows che facilita lo sfruttamento della tecnica FREAK resa pubblica, un problema a livello di settore, che non è specifico per sistemi operativi Windows. La vulnerabilità potrebbe consentire a un attaccante man-in-the-middle (MiTM) di forzare il declassamento della lunghezza di una chiave RSA a lunghezza EXPORT-grade in una connessione TLS. Qualsiasi sistema di Windows che utilizza Schannel per connettersi a un server TLS remoto con un pacchetto di crittografia insicura è interessato.
Lo scenario tipico di attacco è quello della manomissione del DNS, ad esempio, via DNS rebinding o domain name seizure. Inoltre gli esperti hanno dimostrato come un malintenzionato può eseguire attacchi XSS dopo il factoring di moduli RSA a 512-bit per connect.facebook.net. Come di consueto, le correzioni sono disponibili tramite Windows Update, il che significa che verranno applicate automaticamente alla maggior parte degli utenti. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Microsoft Update. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è per martedì 14 aprile 2015.
• MS15-027 - Una vulnerabilità in NetLogon potrebbe consentire attacchi di spoofing (3002657). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire lo spoofing se un utente malintenzionato connesso in un sistema del dominio esegue un'applicazione appositamente predisposta che potrebbe stabilire una connessione con gli altri sistemi di un dominio, come l'utente o il sistema rappresentato. L'attaccante deve essere registrato su un sistema al dominio ed essere in grado di osservare il traffico di rete.
• MS15-028 - Una vulnerabilità in Windows Task Scheduler potrebbe consentire Feature Security Bypass (3030377). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire a un utente con privilegi limitati sul sistema interessato di sfruttare Task Scheduler per eseguire i file che non dispongono delle autorizzazioni per l'esecuzione. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe ignorare controlli ACL e eseguire file eseguibili privilegiati.
• MS15-029 - Una vulnerabilità in Windows Photo Decoder Component potrebbe consentire l'intercettazione di informazioni personali (3035126). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'intercettazione di informazioni personali se un utente accede a un sito web contenente un'immagine appositamente predisposta JPEG XR (.JXR). Questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o elevare direttamente i loro diritti utente, ma potrebbe essere utilizzata per ottenere informazioni che potrebbero essere utilizzati al fine di compromettere ulteriormente il sistema interessato.
• MS15-030 - Una vulnerabilità in Remote Desktop Protocol potrebbe consentire Denial of Service (3039976). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire un attacco Denial of Service se un utente malintenzionato crea più sessioni Remote Desktop Protocol (RDP) che non riescono ad allocare correttamente gli oggetti liberi in memoria. Per impostazione predefinita, RDP non è abilitato su qualsiasi sistema operativo Windows. I sistemi che non hanno RDP attivato non sono a rischio.
• MS15-031 - Una vulnerabilità in Schannel può consentire Feature Security Bypass (3046049). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows che facilita lo sfruttamento della tecnica FREAK resa pubblica, un problema a livello di settore, che non è specifico per sistemi operativi Windows. La vulnerabilità potrebbe consentire a un attaccante man-in-the-middle (MiTM) di forzare il declassamento della lunghezza di una chiave RSA a lunghezza EXPORT-grade in una connessione TLS. Qualsiasi sistema di Windows che utilizza Schannel per connettersi a un server TLS remoto con un pacchetto di crittografia insicura è interessato.
Lo scenario tipico di attacco è quello della manomissione del DNS, ad esempio, via DNS rebinding o domain name seizure. Inoltre gli esperti hanno dimostrato come un malintenzionato può eseguire attacchi XSS dopo il factoring di moduli RSA a 512-bit per connect.facebook.net. Come di consueto, le correzioni sono disponibili tramite Windows Update, il che significa che verranno applicate automaticamente alla maggior parte degli utenti. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Microsoft Update. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è per martedì 14 aprile 2015.
Nessun commento:
Posta un commento