Microsoft Security Advisory 2286198 sulla Windows Shell


[English readers: you can find English links in this post for your convenience]

Durante il fine settimana il Microsoft Security Response Center (MSRC) ha comunicato il rilascio del “Microsoft Security Advisory (2286198) – Vulnerability in Windows Shell Could Allow Remote Code Execution” per segnalare la fase di analisi della vulnerabilità nella Windows Shell di tutte le versioni di Windows attualmente supportate (notate come manchi Windows XP SP2 e Windows 2000, per effetto del recente termine di supporto):

The Microsoft Security Response Center (MSRC) Blog: Security Advisory 2286198 Released

La vulnerabilità può essere sfruttata tramite l’uso di Shortcut modificati ad-hoc in modo da permettere l’esecuzione di codice arbitrario, ma nel contesto di sicurezza dell’utente loggato, quando un’applicazione (tipicamente Windows Explorer) opera la visualizzazione dell’icona che li accompagna.

Il Microsoft Malware Protection Center (MMPC) segnala che la vulnerabilità in questione è anche attualmente sfruttata come uno dei metodi di propagazione della famiglia di malware denominata Stuxnet (già correttamente rilevata dai vari software anti-malware Microsoft): da un lato questo malware provvede ad infettare tutti i drive USB connessi al sistema che è stato infettato, e dall’altro tali drive USB infetti possono a loro volta infettare nuovi sistemi operativi se l’AutoPlay è attivo (utile ricordare che in Windows 7 questa funzionalità è disabilitata) o se intenzionalmente si esplora la loro cartella di root.

MMPC Blog: The Stuxnet Sting

Come di consueto in caso di Security Advisory, l’invito è alla valutazione dei suggerimenti di protezione temporanei (“Workarounds”) in attesa che si completi la fase di analisi e si operi la relativa correzione.

Aggiornamento del 20/07/2010: a fronte di alcune richieste di chiarimento che ho ricevuto, vi aggiungo qualche dettaglio:

  • Il Security Advisory è stato aggiornato ieri nella sezione delle domande frequenti (FAQ) per chiarire meglio che Microsoft sta già realizzando l’aggiornamento di sicurezza.
  • Il primo workaround (quello che permette di disabilitare la visualizzazione delle icone degli shortcut) è totalmente protettivo rispetto al rischio di attacco. Il secondo workaround non è necessario se si implementa il primo, è solo una contromisura alternativa che rende meno automatico lo specifico scenario di attacco remoto tramite WebDAV.
  • Le policy sul ciclo di vita dei prodotti indicano che una volta scaduta la fase di supporto “Extended” (come nel caso di Windows 2000) non vengano più realizzati gli aggiornamenti di sicurezza, fermo restando la possibilità da parte di Microsoft di valutare deroghe specifiche in caso di particolari condizioni di rischio per gli utenti.

Aggiornamento del 21/07/2010:

  • Il Security Advisory è stato aggiornato:
    • per segnalare la disponibilità del Fix It che automatizza l’applicazione del primo workaround (quello che permette di disabilitare la visualizzazione delle icone degli shortcut)
    • per aggiungere un workaround che suggerisce di operare il blocco dei download da Internet dei file LNK e PIF (avendo cura di filtrarli anche se giungono attraverso il protocollo WebDAV). Aggiungo, per maggiore chiarezza, che la sezione delle domande frequenti (FAQ), relativamente alle modalità di attacco, segnala la possibilità di rischio anche in caso di navigazione su siti web e share di rete che ospitino lo shortcut modificato ad-hoc, e in caso di apertura di documenti (Microsoft Office e non solo) che possano includere shortcut e hosted browser control.

Aggiornamento del 30/07/2010:

Aggiornamento del 02/08/2010:

  • Microsoft ha pubblicato il bollettino MS10-046 con l’aggiornamento correttivo:

Feliciano

Other related posts/resources:

Comments (27)

  1. RealENNECI says:

    Grandioso!

    I software li da voi li testate o siete troppo occupati a fare FUD e marketing?

    Calcolando che la maggiorparte della gente non aggiornerà in quanto ha il sistema pirata, prevedo un bel disastro in perfetto stile M$.

    Ah già… tanto ci vorranno 6 mesi epr evere la patch 🙂

    Buon divertimento

  2. Feliciano Intini says:

    @RealENNECI: meno male che ci sei tu a vivacizzare i commenti di questo blog così triste (anche se, non me ne volere, rimpiango un po' l'affezionata GnoccaSenzaTesta… sai com'è ;-))

  3. bondocks says:

    @RealENNECI:

    Ma se la maggior parte della gente non aggiorna perchè ha Windows pirata cosa c'entra MS?

    Ah già…volevi essere più bravo di loro a fare FUD!

  4. RealENNECI says:

    @feliciano

    Dai non te la prendere, tanto siamo sempre alle solite.. tappate di qua, si buca di la…

    Almeno tra una battuta e l'altra vivacizziamo l'ambiene e la gente non ci pensa troppo 😛

    A parte gli scherzi, dici che fra un paio di mesi sarà pronta la patch? ROTFL

  5. lalla63 says:

    Direi che è quasi ora di fare uscire "almeno" un fix it che implementi i workarounds possibili e li automatizzi (oltre a Microsoft molti altri non hanno le mani molto in pasta ai s.o.).

    Poi sarebbe bello capire come mai sistemi modernissimi come seven, sicuramente da installare subito al posto dei predecessori perchè moooooooooolto più sicuro, siano afflitti dalle stesse identiche vulnerabilità del buon vecchio w2k (talmente identiche da poter condividere gli stessi exploit e malware ……. la retrocompatibilità è sempre garantita).

    E sarebbe anche bello sapere se w2k sarà degnato di una patch anche se è appena uscito dal programma di mantenimento, ma è ancora impiegato felicemente su un gran numero di macchine, anche strategiche.

  6. RealENNECI says:

    Scusate, ma windows 98 è anche affetto da questo bug? lo chiedo xche mi pare di capire che gira e rigira la base è sempre la stessa, cambia solo la grafica e il marketing che ci sta dietro!

    ROTFL… mega ROTFL

  7. Feliciano Intini says:

    @Ialla63: è giusto, assolutamente opportuno il Fix It, lo sollecito. Lo hai detto tu stesso, per garantire (purtroppo aggiungo io) la retrocompatibilità, ci sono porzioni di codice comuni a tutte le versioni di Windows. Sulla patch per Windows 2000 ho scritto nel post: in prima battuta non credo che si realizzerà, ma mai dire mai…

    @RealENNECI: io non me la prendo, anzi, ma preferisci che faccia anch'io qualche battuta nel risponderti o che ti ignori?

  8. Lanf says:

    Usate il comand DIR del prompt DOS! Certe volte le vecchie abitudini tornano comode.

  9. bondocks says:

    Ho applicato il Fixit automatico ma al riavvio non tutte le icone sono sparite..ad esempio è rimasta visibile Sticky notes,strumento ci cattura,paint,calcolatrice…succede solo a me?

  10. ANONIMO says:

    @RealENNECI: Se il S.O. MS non ti piace, puoi sempre cambiare, mica ti costringe qualcuno. Per fortuna cambia moolto altro rispetto alla grafica e al marketing (che spesso non è all'altezza), ma forse è più facile dar fiato alla bocca che cercare di capire.

  11. RealENNECI says:

    @ANONIMO: Infatti uso altro, ci mancherebbe che mi faccio prendere per i fondelli da sti venditori di tappeti.

    Devo cercare di capire? si, senz'altro, ma su tecnologie degne di questo termine!

    Detto ciò, visto che mi hanno costretto a comprare windows 7 abbinato a forza sul mio portatile, mi permetto di criticarli perchè in un paese libero è mio diritto scegliere se volere o no il sistema operativo.

  12. Feliciano Intini says:

    @bondocks: perdona la domanda, ma è giusto per capire: sei sicuro che le icone che non sono diventate bianche siano relative a degli Shortcut? Nel frattempo verifico se qualcun'altro ha riscontrato la stessa tua anomalia.

  13. bondocks says:

    @Feliciano

    Si sono .ink ,ad esempio Paint che è %windir%system32mspaint.exe

    Grazie

  14. bondocks says:

    Aggiornamento:

    giusto 30 secondi fa stavo navigando tranquillamente e improvvisamente tutte le icone sono sparite,comprese quelle della barra delle applicazioni (avevo dimenticato di dirlo prima).

    Sono perplesso :S

  15. Feliciano Intini says:

    @bondocks: Uhmm… anch'io! 🙂 Quindi vuoi dirmi che ora è tutto come dovrebbe essere (=tutte le icone degli shortcut sono bianche).

  16. bondocks says:

    @Feliciano

    Si si,adesso è tutto come dovrebbe essere. Ho dimenticato una cosa,nel mentre che navigavo stavo anche installando Office 2007 (sono reduce da formattazione) e durante questa operazione è avvvenuto il fatto.

    Se ti può servire sono su 64bit e stò usando la beta di MSE (non sia mai che ci sia qualche inghippo li,visto che è una beta)

  17. RealENNECI says:

    @bondocks: Che figata, vedo che windows t€tt€ è migliorato molto in qualità di "magagne"…

    @feliciano: Toccato un tasto dolente? (riguardo l'OEM)

  18. bondocks says:

    @RealENNECI

    Dai che se ti impegni sono sicuro che le puoi impiegare meglio le giornate…

  19. RealENNECI says:

    @all: Dai abbiamo capito che state rosikando, avete paura che il vostro tesserino "MS Certified" prima o poi vi servirà solo per sbrinare i vetri della macchina? eh be… non ve l'avevamo detto!

    In questo caso ci sta proprio un bel GET THE FACTS

    Buon desktop in bianco e nero a tutti, questa si che si chiama patch!

  20. RealENNECI says:

    @bondocks: Bhe sicuramente non le investo in inutili formattazioni e reinstallazioni per bug irrisolti da sempre.. contento tu…

  21. michele says:

    Ciao,

    Posso confermarti quanto ha detto bondocks, dopo l'installazione del FixIt alcune icone diventano bianche ed altre mantengono la precedente grafica.

    Non è però un problema del FixIt ma è dovuto al fatto che la 'icon cache' non viene svuotata immediatamente. Forzando questa operazione con IconTweaker tutte le icone diventano bianche.

    Penso che sia lo stesso meccanismo per cui alcune volte un collegamento mantiene l'icona dell'eseguibile a cui si riferisce anche quando questo è stato cancellato.

    Il problema si risolve da solo, anche se sarebbe forse opportuno capire se questo modo di operare del sistema possa in qualche modo incidere negativamente sull'efficacia del FixIt.

    Saluti

  22. bondocks says:

    @michele

    Operazione che allora viene probabilmente fatta al termine dell'installazione di Office (nel mio caso)

  23. RealENNECI says:

    @feliciano: sono ancora qua che aspetto delucidazioni in merito al mio acquisto "forzato" di t€tt€ sul mio Notebook. Domanda: Se avessi a disposizione una FULL licenziata che faccio? la tengo li e ri-acquisto una OEM? Grazie per le (non) risposte.

  24. RealENNECI says:

    Allora sta patch?

    Scusate se me la rido, però basta citare la scorrettezza della politica OEM per farvi scappare tutti…

    Ah!… senz'altro non avete tempo da perdere per rispondere?

    Ottima scusa!

  25. Feliciano Intini says:

    @RealENNECI: perché non mi mandi il tuo indirizzo di email, così magari ti metto in copia quando devo chiedere le mie ferie… ???

    Riguardo alle tue domande (o devo chiamarle provocazioni?) su Windows OEM: io non mi occupo di licensing, ma so che l'interlocutore riguardo i termini di licenza della copia OEM di Windows è il produttore del computer o l'installatore del software, come si legge nell'EULA: http://www.microsoft.com/…/Default.aspx

    Lo so, è brutto fare lo scaricabarile, ma sono loro che ti hanno venduto la licenza e a loro è necessario rivolgersi per ogni chiarimento, perché ognuno di loro può decidere una gestione diversa dei termini di vendita.

    @Michele: grazie del chiarimento riguardo all'anomalia delle icone, credo proprio che tu abbia centrato il motivo (Icon Cache): in prima battuta non credo che questo possa rendere meno efficace il FixIt, ma verifico internamente e vi aggiorno se ho novità

  26. bondocks says:

    Mi stavo chiedendo una cosa..ho visto che sono comparsi dei fix-it preparati da altri (sophos e un'altra ma non trovo il link dove l'ho letto).

    Ricordo però che veniva indicato che non c'era la fastidiosa scopmarsa delle icone.

    Mi stavo chiedendo se fossero affidabili e,in caso affermativo, per quale motivo il fix Microsoft creava questo "fastidio" in più.

  27. Feliciano Intini says:

    @bondocks: il processo che porta Microsoft a produrre il FixIt è semplice. Data una vulnerabilità che interessa uno specifico componente/servizio, si individuano i vari modi per disabilitarlo in modo da non permettere l'attacco: queste indicazioni di modifiche di configurazione (e le segnalazioni dei problemi che possono provocare) diventano i cosiddetti suggerimenti di "workaround" che si forniscono in un Security Advisory. Il FixIt non è altro che un eseguibile per semplificare l'applicazione di quelle modifiche e renderlo automatico. Tipicamente Microsoft non si impegna a scrivere nuovo codice per fornire workaround, perché è impegnata a realizzare l'aggiornamento correttivo che risolve il problema alla radice. Gli sforzi di altri vendor di sicurezza a produrre soluzioni tampone, magari anche meno invasive come quella di Sophos, anche se molto apprezzabili, sono in generale da valutare con cautela: la loro affidabilità dipende dalla serietà del vendor, e dal tempo che hanno speso nel valutare la compatibilità applicativa.