mercoledì 14 gennaio 2015

Microsoft Patch day gennaio: 8 bollettini chiudono 8 bug ma non solo


Questo Patch Day è diverso dai suoi predecessori sotto alcuni aspetti. La scorsa settimana Microsoft ha annunciato che non avrebbe più fornito il suo Advance Notification Service (ANS), fornendo le informazioni preventive di aggiornamento di sicurezza mensili solo ai clienti con contratti pagati e alle organizzazioni che collaborano al Microsoft Active Protections Program (MAPP). Redmond ha spiegato che si tratta di una scelta legata ad una "evoluzione" del servizio e al comportamento degli utenti. Il suo servizio di notifica anticipata è stato creato più di un decennio fa come parte dell'aggiornamento Tuesday comunicato dall'azienda anticipatamente.

Nel corso degli anni, gli ambienti tecnologici e le esigenze dei clienti si sono evoluti e ciò ha spinto Microsoft a valutare i suoi canali di informazione e di distribuzione esistenti. Advance Notification Service è sempre stato ottimizzato per le grandi organizzazioni. Tuttavia, il feedback dei clienti indica che molti dei grandi clienti di Redmond non utilizzano ANS nello stesso modo che hanno fatto in passato a causa di metodologie di test e implementazione ottimizzate. Mentre alcuni clienti si affidano ancora ANS, la stragrande maggioranza attende l'aggiornamento di Martedì, o non prende alcuna azione, permettendo che gli aggiornamenti avvengano automaticamente.

Per i clienti senza un contratto di supporto Premier, Redmond consiglia di servirsi di myBulletins, il servizio reso disponibile a maggio che consente agli utenti di personalizzare le informazioni dei bollettini sulla sicurezza basate solo sulle applicazioni in esecuzione nel loro ambiente. E come parte del suo Patch Day di gennaio 2015, Microsoft ha rilasciato otto bollettini di sicurezza, sette dei quali considerati di livello importante e uno critico, che affrontano 8 vulnerabilità in Windows ed edizioni server.  Il primo bollettino più importante risolve una vulnerabilità 0-day in Windows Server 2008 R2 e versioni successive (ma non Windows Server Core), Windows 7, Windows 8 e Windows 8.1.

Il bug è stato pubblicato una prima volta dal team di Google Project Zero il 30 settembre, e poi divulgato automaticamente dopo 90 giorni, il 29 dicembre. Microsoft non è contento della divulgazione in quanto aveva chiesto una sospensione fino a questo Patch day in base a un blog post. Microsoft sostiene come il panorama della sicurezza è diventato "sempre più complesso" e le aziende devono "unirsi", piuttosto che rilasciare i dettagli delle vulnerabilità di sicurezza prima che possano essere risolte. Il secondo difetto più quotato potrebbe consentire a un utente malintenzionato di apportare modifiche dannose su un dispositivo. Contestualmente Adobe ha rilasciato le patch per le vulnerabilità di sicurezza in Flash Player e AIR. Di seguito i bollettini di Microsoft sulla sicurezza di gennaio in ordine di gravità.

MS15-001 - Una vulnerabilità in Windows Application Compatibility Cache può consentire l'elevazione di privilegi (3023266). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft Windows. La vulnerabilità può consentire l'elevazione di privilegise un utente malintenzionato accede a un sistema ed esegue un'applicazione appositamente predisposta. Un utente malintenzionato autenticato sfruttando questa vulnerabilità può ignorare i controlli delle autorizzazioni esistenti che vengono eseguiti durante la modifica della cache nel componente Microsoft Windows Application Compatibility ed eseguire codice arbitrario con privilegi elevati. 

MS15-002 - Una vulnerabilità in Windows Telnet Service può consentire l'esecuzione di codice remoto (3020393). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia pacchetti appositamente predisposti a un server Windows di destinazione. Solo i clienti che consentono questo servizio sono vulnerabili. Per impostazione predefinita, Telnet è installato ma non abilitato su Windows Server 2003. Telnet non è installato di default su Windows Vista e sistemi operativi successivi. 

MS15-003 - Una vulnerabilità nel Windows User Profile Service può consentire l'elevazione di privilegi (3021674). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Microsoft Windows. La vulnerabilità può consentire l'elevazione di privilegi se un utente malintenzionato accede al sistema ed esegue un'applicazione appositamente predisposta. Un malintenzionato locale in grado di sfruttare questa vulnerabilità potrebbe eseguire codice arbitrario su un sistema di destinazione con privilegi elevati. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente per sfruttare la vulnerabilità. 

MS15-004 - Una vulnerabilità nei componenti di Windows può consentire l'elevazione dei privilegi (3025421). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato convince un utente ad eseguire un'applicazione appositamente predisposta. Un utente malintenzionato che riesca a sfruttare la vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi.

MS15-005 - Una vulnerabilità in Network Location Awareness Service può consentire Feature Security Bypass (3022777). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire security feature bypass da involontaria politica firewall e/o configurazione di alcuni servizi quando un utente malintenzionato sulla stessa rete, falsifica le risposte del DNS e il traffico LDAP (Lightweight Directory Access Protocol) avviate dalla vittima. L'aggiornamento per la protezione risolve la vulnerabilità forzando l'autenticazione reciproca tramite Kerberos.  

MS15-006 - Una vulnerabilità in Windows Error Reporting può consentire Feature Security Bypass (3004365). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Windows Error Reporting (WER). La vulnerabilità può consentire Feature Security Bypass se sfruttata con successo da un utente malintenzionato. Un utente malintenzionato che sfrutti questa vulnerabilità può ottenere l'accesso alla memoria di un processo in esecuzione. I clienti con account configurati in modo da disporre solo di diritti utente sul sistema potrebbero essere esposti all'attacco in misura inferiore rispetto a quelli che operanocon privilegi di amministrazione.

MS15-007 - Una vulnerabilità nell'implementazione Network Policy Server RADIUS potrebbe causare Denial of Service (3014029). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire denial of service su un Servizio di Autenticazione Internet (IAS) o Network Policy Server (NPS), se un utente malintenzionato invia stringhe username appositamente predisposte a IAS o NPS. Si noti che la vulnerabilità di negazione del servizio non consente a un utente malintenzionato di eseguire codice o elevare i diritti degli utenti; tuttavia, potrebbe impedire l'autenticazione RADIUS su IAS o NPS. 

MS15-008 - Una vulnerabilità in Windows driver in modalità kernel può consentire l'elevazione dei privilegi (3019215). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privileg se un utente malintenzionato esegue un'applicazione appositamente predisposta in un sistema interessato. Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere localmente per sfruttare la vulnerabilità. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui i livelli imitati vengono convalidati e applicati.

Come al solito, le correzioni sono disponibili tramite Windows Update. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.20, per consentire l'eliminazione di software dannosi. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il patch day è per martedì 10 febbraio 2015. 




Nessun commento:

Posta un commento