sabato 29 gennaio 2011

Nuova grave vulnerabilità Zero-day in Windows rendering MHTML

Microsoft ha appena rilasciato il Security Advisory 2501696 riconoscendo una nuova falla zero-day in tutte le attuali versioni di Windows (ad eccezione di Server Core). La falla sembra consentire a delle pagine web predisposte l'esecuzione di codice dannoso, in ogni "zona" a prescindere dalla zona specificata. Tutte le applicazioni che utilizzano il rendering HTML di Microsoft possono essere attaccate, inclusi Internet Explorer. Non sarebbero interessati Outlook, Outlook Express e Windows Mail.

Microsoft sta studiando nuove segnalazioni pubbliche di una vulnerabilità in tutte le edizioni supportate di Microsoft Windows. La vulnerabilità potrebbe consentire a un utente malintenzionato di causare a una vittima l'esecuzione di script dannosi quando vengono visitati vari siti Web, con conseguente divulgazione di informazioni. Tale impatto è simile a quello delle vulnerabilità server-side cross-site scripting (XSS). Microsoft è a conoscenza del codice proof-of-concept pubblicato che tenta di sfruttare questa vulnerabilità. Al momento, Microsoft non ha visto alcuna indicazione di sfruttamento attivo della vulnerabilità. La vulnerabilità è dovuta al modo in cui MHTML interpreta le richieste in formato MIME (Multipurpose Internet Mail Extensions) per i blocchi di contenuto all'interno di un documento. E 'possibile, a determinate condizioni per questa vulnerabilità consentire a un aggressore di iniettare uno script lato client nella risposta di una richiesta Web eseguite nel contesto della vittima in Internet Explorer. Lo script potrebbe avvenire con spoofing (falsificazione) di contenuti, fornire dati, o fare qualsiasi azione che l'utente compie sul sito Web interessato a nome degli utenti obiettivo. Microsoft sta lavorando attivamente con i partner nel suo Microsoft Active Protections Program (MAPP) per fornire informazioni che possono utilizzare per fornire più ampie tutele per i clienti. La vulnerabilità descritta in questo advisory, non interessa le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2 come indicato, se installata l'opzione di installazione di Server core. Microsoft sta collaborando con i fornitori dei servizi per trovare soluzioni server-side, ma si consiglia di applicare una o più delle soluzioni alternative sul lato client fornite nella sezione Azioni consigliate da questo advisory per bloccare i potenziali vettori di attacco, indipendentemente dal servizio. Al termine di questa indagine, Microsoft intraprenderà l'azione appropriata per contribuire a proteggere i suoi clienti. Questo può includere un aggiornamento di sicurezza attraverso il suo processo di rilascio mensile oppure un aggiornamento out-of-cycle della protezione, a seconda delle esigenze del cliente.


Vi è dunque prova della vulnerabilità e sembra essere solo una questione di tempo prima di vedere i criminali che cercheranno di sfruttare questo difetto. Per gli utenti, o le aziende che gestiscono solo un numero limitato di computer, Microsoft ha fornito una correzione, strumento che permette di applicare alle proprie impostazioni consigliate senza dover utilizzare le impostazioni per i Group Policy Objects (GPO, criteri di gruppo) o dover modificare manualmente le chiavi di registro. Per ulteriori informazioni su questa opzione di installazione, vedere gli articoli TechNet, Gestione di un Core installazione server e Manutenzione di un Core installazione server. Si noti che l'opzione di installazione Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2, vedere Confronta Opzioni di installazione Server Core. Le soluzioni Fixit descritte da Microsoft in questa sezione non è destinata ad essere un sostituzione per ogni aggiornamento della protezione. Si consiglia di installare sempre gli aggiornamenti di sicurezza più recenti. Tuttavia, Microsoft vi offre questa soluzione Fixit come opzione di soluzione per alcuni scenari. Per ulteriori informazioni su questa soluzione, visitare il seguente la pagina del Microsoft Security Advisory. La consulenza fornisce ulteriori informazioni sul problema, tra cui gli scenari in cui è possibile applicare o disattivare la soluzione e come applicare manualmente la soluzione. Per attivare o disattivare questa soluzione Fix it, fate clic sul pulsante Fix it o il link posto sotto la voce Abilita o sotto la voce Disabilita. Fate clic su Esegui nel Download del file nella finestra di dialogo, e quindi seguite i passaggi della correzione guidata. Il SANS Internet Storm Center ha pure scritto un post sul suo blog, annotando tutte le località correnti per fornire informazioni su questa vulnerabilità. Se vi imbattete in attacchi diretti contro questa vulnerabilità, potete caricare tutti i dettagli in vostro possesso (pcap, campioni, url, etc) attraverso il suo modulo di contatto che verrà revisionato, condiviso con la comunità (se permesso), aggiornato e postato il diario. Ci vorrà  probabilmente un certo tempo prima che Microsoft sarà in grado di rilasciare una patch per questa vulnerabilità.

Nessun commento:

Posta un commento