Jerry Bryant, senior security communications manager di Microsoft, ha sintetizzato il contenuto dei 13 bollettini di Febbraio e i relativi fattori di rischio in questo post.
Bryant ritiene che la patch più urgente sia quella linkata nel bollettino MS10-013, e relativa alla falla di DirectShow. Tale falla, classificata “critica” in tutte le versioni supportate di Windows, può essere sfruttata dai cracker per prendere il controllo di un sistema remoto in modo piuttosto semplice: inserendo un file AVI maligno all’interno di una pagina web o di una email e inducendo l’utente ad aprirlo.
A preoccupare è soprattutto un bug di SMB con exploitability index (EI) pari a 1, che suggerisce l’elevata probabilità che emerga un exploit. Bryant afferma però che se è relativamente semplice sfruttare la falla per causare un denial of service, lo è molto meno servirsene per eseguire codice a distanza.
Microsoft spiega che un firewall ben configurato dovrebbe proteggere le aziende da attacchi esterni. Sulle vulnerabilità dei bollettini MS10-006 e MS10-012 Microsoft ha pubblicato anche questo approfondimento.
Un’altra vulnerabilità con EI pari a 1 è quella illustrata nel bollettino MS10-007, che interessa il Windows Shell Handler di Windows 2000, Windows XP, e Windows Server 2003. Il problema risiede nell’errata validazione, da parte della API ShellExecute, di certi URL malformati: URL che, una volta aperti dall’utente, possono eseguire del codice maligno.
Gli ultimi due bollettini “critici” sono l’MS10-008, che disattiva diversi controlli ActiveX vulnerabili, e l’MS10-009, che sistema invece diversi bug nell’implementazione del protocollo TCP/IP di Windows Vista e Windows Server 2008. Questo è l’unico bollettino che contiene una vulnerabilità zero-day, ossia già sfruttata in alcuni attacchi.
Come anticipato, Microsoft ha pubblicato anche l’advisory 977377 relativo alla nota vulnerabilità nei protocolli TLS e SSL. Tale vulnerabilità è stata resa pubblica lo scorso autunno da due ricercatori di Phone Factor, e della sua correzione “a monte” si sta occupando ICASI.
Riccardo Basile
