Sono state identificate cinque vulnerabilità relative all’infrastruttura server di Microsoft.
Se sfruttate queste vulnerabilità avrebbero potuto influire sull’integrità, la disponibilità e la riservatezza del sistema.
Le vulnerabilità, segnalate subito a Microsoft, e individuate qualche settimana fa riguardano il software che esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer (Cwe-119).
Alcuni linguaggi consentono l’indirizzamento diretto delle allocazioni di memoria e non garantiscono che queste posizioni siano valide per il buffer di memoria a cui si fa riferimento.
Ciò può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema.
Il software costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma neutralizza in modo errato – o addirittura risulta del tutto inattivo al riguardo – elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto.
Quando il software permette all’input di un utente di contenere la sintassi del codice, diventa possibile per un potenziale aggressore generare una stringa in modo tale da alterare il flusso di controllo previsto del software (Cwe-94). Una tale alterazione potrebbe portare ad un’esecuzione arbitraria.
Si tratta di un problema di code injection. Comporta quindi un’ampia varietà di problematiche – tutte attenuate in modi molto diversi. Per questo motivo, il modo più efficace per discutere queste debolezze è quello di notare le distinte caratteristiche che le classificano come tali.
Un tratto comune ai problemi code injection: permettono l’iniezione di dati del “control plane” nel piano dati controllato dall’utente. Quindi l’esecuzione del processo può essere modificata inviando codice attraverso canali dati legittimi, senza utilizzare altri meccanismi.
Mentre i buffer overflow, e molti altri difetti, comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi basati sull’iniezione Sql e le vulnerabilità delle stringhe di formato.
Infine (Cwe-200), un'”information exposure”. E’ la divulgazione intenzionale o non intenzionale di informazioni ad un attore che non è esplicitamente autorizzato ad avere accesso a tali informazioni che possono essere di due tipi: sensibili nell’ambito delle funzionalità proprie del prodotto, come per esempio un messaggio privato, oppure sensibili perché forniscono informazioni sul prodotto o sul suo ambiente che potrebbero essere utili in un attacco, ma che normalmente non sono disponibili per l’aggressore, come per esempio il percorso di installazione di un prodotto accessibile a distanza.
Le vulnerabilità sono state individuate ed analizzate da Swascan, la società italiana di cybersecurity che è anche il nome della piattaforma cloud-based di cybersecurity testing che permette di identificare, analizzare e risolvere le vulnerabilità dei siti web e delle infrastrutture informatiche.
Swascan sottolinea l’attenzione di Microsoft ai risultati dei test di Swascan. Gli scambi di e-mail, le attività di valutazione e la proattività degli esperti di sicurezza, di reverse engineering e dei programmatori che lavorano con Microsoft secondo Swascan riflette i benefici di un approccio collaborativo tra le società di sicurezza informatica e i fornitori, per una più rapida reazione alle problematiche di sicurezza.
© RIPRODUZIONE RISERVATA
