Come preventivamente indicato nella sezione podcast presente nella home page del portale del CERT-SPC, ieri, 19 aprile, è stata publicata la versione finale della classifica 2010 relativa alle dieci principali minacce relative alle web application; il documento è stato realizzaro dal progetto OWASP (Open Web Application Security Project), la comunità indipendente di ricercatori dedicati a sensibilizzare e promuovere la consapevolezza intorno alla necessità di maggiore sicurezza nelle web application.

Da quando i principali produttori si software hanno deciso di adottare una politica di rilascio programmato degli aggiornamenti di sicurezza, possono verificarsi occorrenze come quella di questa settimana, durante la quale saranno pubblicati gli abituali aggiornamenti mensili di Microsoft (11 bollettini per 25 vulnerabilità), quelli trimestrali di Oracle (correttivi di 47 vulnerabilità) e di Adobe per Acrobat e Reader.

Se da un lato il ricorso a date predeterminate per il rilascio degli aggiornamenti consente anche una pianificazione delle risorse da impiegare per l'installazione delle patch, alcuni controindicazioni si ravvisano nel fatto che ogni tre mesi gli amministratori si trovano a dover gestire un così imponente intervento su sistemi e tecnologie di tale impatto e diffusione nei rispettivi ambienti. Tanto più se si considerano le best practice che impongono test e valutazioni di impatto prima di passare l'aggiornamento ai sistemi in produzione.

Appuntamento, allora, per il 13 Aprile!

Nella sezione bollettini sono illustrati gli aggiornamenti di sicurezza sopra annunciati.

Microsoft ha pubblicato un avviso di sicurezza per confermare una nuova vulnerabilità che interessa la versioni 6 e 7 di Internet Explorer per la quale è disponibile in Rete un exploit e già sono stati registrati alcuni attacchi mirati. Dalle informazioni al momento disponibili risulta che Internet Explorer 8 è immune da vulnerabilità e che gli attacchi provengano dal dominio "topix21century.com". I visitatori sono reindirizzati verso una pagina web appositamente predisposta dall’attaccante per sfruttare la vulnerabilità che consente il “download” e l'installazione di un malware di tipo trojan. Lo scenario di attacco per tale vulnerabilità consiste nell'indurre un utente a visitare una pagina web appositamente predisposta per sfruttare tale vulnerabilità ed inoculare malware.

Si rappresenta che anche siti legittimi, se compromessi dall'attaccante, possono ospitare indirizzamenti a pagine web tali da innescare l'attacco sfruttando tale vulnerabilità.

Si raccomanda pertanto di tenere aggiornati i propri sistemi e software antivrus ed utilizzare, ove possibile, la versione 8 di Internet Explorer o browser alternativi. Un workaround suggerito per gli utenti delle versioni interessate dalla vulnerabilità è di impostare al massimo livello di protezione l'area Internet di Internet Explorer per mitigare l'impatto della stessa. Altri dettagli sono disponibili presso le seguenti URL:

• http://www.microsoft.com/technet/security/advisory/981374.mspx
• http://www.avertlabs.com/research/blog/index.php/2010/03/09/targeted-internet-explorer-0day-attack-announced-cve-2010-0806/

Microsoft ha aggiornato l'avviso di sicurezza 981374 che illustra la vulnerabilità segnalata includendo un ulteriore workarond per disabilitare peer factory class in iepeers.dll. Inoltre nell'avviso di sicurezza Microsoft ha reso disponibile una procedura automatica provvisoria (FIX) per abilitare e disabilitare in modalità semplice e sicure per tutti gli utenti quest'ultimo workaround.

In relazione alla citata vulneravbilità, Microsoft ha annunciato il rilascio di un bollettino straordinario (out of band) per correggere la falla di sicurezza segnalata ed altre nove vulnerabilità probabilmente collegate alla stessa. Ulteriori dettagli sono disponibili presso le seguenti URL:

• http://www.microsoft.com/technet/security/bulletin/ms10-mar.mspx
• http://www.microsoft.com/technet/security/advisory/981374.mspx
• http://blogs.technet.com/msrc/archive/2010/03/29/internet-explorer-cumulative-update-releasing-out-of-band.aspx

Il CERT-SPC ha pubblicato la notizia del rialscio del bollettino straordinario (out of band) MS10-018 per correggere la vulenrabilità segnalata disponibilie al seguente indirizzo:

http://www.cert-spc.it/index.php/bollettini/vulnerabilita/359-microsoft-aggiornamento-straordianario-per-internet-explorer

Gli analisti del CERT raccomandano di rimuovere il file memorizzato nella cartella system32 di Windows e riavviare il sistema operativo.

Ulteriori dettagli sono disponibili presso le seguenti URL:

• http://www.kb.cert.org/vuls/id/154421
• http://isc.sans.org/diary.html?storyid=8386

MAEC: Il metodo standard di descrivere il comportamento del malware fornite dal MAEC consentirà uno sviluppo più rapido di contromisure basate su quelli precedentemente osservati. Uno standard adottato per la caratterizzazione di malware consentirà una maggiore consapevolezza pubblica delle minacce

Si rincorrono in questi giorni su tutti i giornali del mondo le notizie sul più grande attacco informatico degli ultimi anni, come è stato definito quello scoperto da un ingegnere della NetWitness, la società statunitense che si occupa di sicurezza telematica e fornisce i propri servizi ad agenzie governative ed a numerose aziende. I numeri riportati dai media riferiscono di oltre 75.000 computer compromessi in 196 Paesi del mondo ed attribuiscono la causa ad uno spyware denominato Zeus, che sarebbe stato confezionato in qualche paese dell'est europeo.

Questa nuova botnet denominata Kneber evidenzia la modularità e le possibilità di re-impiego degli strumenti offerti dal "pacchetto" malware Zbot (alias Zeus), che ormai è ai primi posti tra le minacce della specie registrate per il 2009. Kneber, stando ai dati pubblicati da NetWitness avrebbe raccolto in un mese di operatività oltre 75 GB di dati contenenti insormazioni personali e credenziali di accesso a servizi on-line.

Occorre evidenziare, inoltre, che Zeus in realtà è un toolkit, disponibile dal 2007 e creato in Russia o in paesi che utilizzano quell'idioma (essendo scritto in cirillico); è molto apprezzato  nell'underground di Internet (dove è reperibile per pochi dollari) per la facilità di utilizzo e le possibilità che offre di catturare dati personali e critici dai sistemi compromessi.
Si installa sfruttando vulnerabilità non corrette sui sistemi o attraverso attacchi di social engeneering che inducono gli utenti a scaricare ed aprire file comprmessi. Un volta installato l'applicazione si connette ad un server di tipo command-and-control attraverso il protocollo HTTP, vincolando il sistema vittima alla botnet.

In sostanza Zeus offre un pacchetto software di facile utilizzo ed a buon mercato, facilmente migliorabile da utenti anche non-esperti, per creare nuove funzionalità e metodologie di attacco, sembre veicolabili mediante reti di computer "bot".
Secondo fonti autorevoli il 2% delle infezioni totali realizzate negli ultimi 12 mesi da Zeus sarebbe ai danni di sistemi presenti sul territorio nazionale.

Fonti del CERT-SPC, inoltre, riportano di un'ultima versione del malware che sarebbe utilizzata in queste settimane per condurre una "campagna di spam" indirizzata prevalentemente verso caselle appoggiate a domini governativi (.gov) e militari (.mil). I messaggi di posta sembrerebbero provenire dal National Intelligence Council ( Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ) ed i destinatari sono indotti a visionare il documento allegato dal titolo "2020 Project."