sabato 5 novembre 2011

Vulnerabilità kernel, Microsoft pubblica un workaround contro Duqu


Microsoft ha pubblicato un advisory di sicurezza (2639658) con il quale annuncia la disponibilità di un workaround per affrontare temporaneamente la recente vulnerabilità del kernel Windows (CVE-2011-3402), sfruttata dal malware Duqu e rivelata da Symantec. "Microsoft sta studiando una vulnerabilità in un componente di Microsoft Windows, presente nel motore di analisi dei fonti di carattere TrueType Win 32k. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi". 

"Siamo consapevoli di attacchi mirati che tentano di utilizzare la vulnerabilità segnalata, in generale, vediamo basso impatto clienti in questo momento. Questa vulnerabilità è legata al malware Duqu. Al termine di questa indagine, Microsoft intraprenderà le azioni appropriate per proteggere i nostri clienti. Questo può includere un aggiornamento di sicurezza attraverso il nostro processo di rilascio mensile oppure un out-of-cycle di aggiornamento della protezione, a seconda delle esigenze del cliente. Stiamo lavorando attivamente con i partner nel nostro Microsoft Active Protections Program (MAPP) per fornire informazioni che possano fornire più ampie tutele ai clienti", si legge nel comunicato di Microsoft pubblicato giovedì 3 novembre.


Vista la pericolosità della minaccia, Microsoft ha deciso di pubblicare un aggiornamento temporaneo, in attesa del rilascio di una patch "definitiva", vale a dire un fix che consente di disabilitare l’accesso alla libreria vulnerabile (T2EMBED.DLL) e risolvere temporaneamente il problema. "Oggi è stato rilasciato il Security Advisory 2639568 per fornire una guida ai clienti per il rilascio del kernel di Windows relative a malware Duqu. Desidero fornire informazioni su come proteggere il vostro sistema, come stiamo affrontando la questione, e la nostra capacità di monitorare e comprendere il panorama delle minacce. Il testo del documento fornisce una soluzione che può essere applicata a qualsiasi sistema Windows. 

Per rendere più facile l'installazione ai clienti, abbiamo rilasciato un Fix it che permetterà la soluzione con un solo clic e un modo semplice di implementazione per le imprese. Per proteggere ulteriormente i clienti, abbiamo fornito i nostri partner nel Microsoft Active Protections Program (MAPP) di informazioni dettagliate su come costruire il rilevamento per i loro prodotti di sicurezza. Ciò significa che entro poche ore, le aziende anti-malware lanceranno le nuove firme per rilevare e bloccare i tentativi di sfruttamento di questa vulnerabilità. Perciò incoraggiamo i clienti di assicurarsi che il proprio software antivirus sia aggiornato", scrive Jerry Bryant, responsabile delle comunicazioni di Microsoft TechNet.


Il Fix It è disponibile a questa pagina del supporto tecnico di Mircrosft ed è scaricabile cliccando direttamente qui. Il team di progettazione di Redmond  ha determinato la causa principale di questa vulnerabilità, e sta lavorando per produrre un aggiornamento della protezione per affrontarla.  Microsoft sottolinea che la vulnerabilità non può essere sfruttata automaticamente attraverso una email, ma solo se l’utente esegue un allegato Word. Microsoft ha in programma di rilasciare l'aggiornamento della protezione tramite il processo di sicurezza elettronica, anche se non è certo se sarà pronto nel rilascio dei bollettini di questo mese. 

Come ha affermato da Microsoft in precedenza, il rischio per i clienti rimane basso. Tuttavia, la società invita gli utenti ad applicare la soluzione alternativa e di tenere aggiornata la propria soluzione anti-virus, per assicurare protezione per questo problema. Gli amministratori di rete possono installare l'aggiornamento su quei sistemi che sono più a rischio oppure che contengono dati sensibili adottando così una misura cautelativa prima del rilascio della patch ufficiale.

Nessun commento:

Posta un commento