La lista delle vulnerabilità Microsoft non ha mai fine. Nell’ultima settimana sono state rilasciate da Microsoft tre patches di sicurezza definite critical:
- due riguardano Internet Explorer (dalla versione 8 alla 11) patch # 3088903 e # 3082442
- una riguarda il protocollo RDP (tutti i sistemi operativi tranne Windows 10) patch # 3080348
Critiche perché consentono a chi ci attacca di eseguire codice a distanza: remote code execution.
Come e chi ci attacca?
Ad esempio, nel caso di Internet Explorer, l’attacco viene effettuato durante la navigazione, quindi è l’utente che consente ingresso dell’hacker, non importa quanto chiusi siano i nostri firewall. Lo stiamo dicendo da mesi che il problema si è spostato sull’attività dell’utente e a poco servono le protezioni perimetrali tradizionali.
Lo spiega bene la Microsoft nel bollettino di rilascio della patch n. 3082442 del 18 agosto 2015:
This security update resolves vulnerabilities in Internet Explorer. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. An attacker who successfully exploited these vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
Il bug scoperto e risolto da questa patch di sicurezza rilasciata due giorni fa, dice letteralmente che “consente all’utente remoto (chi ci attacca mentre navighiamo) di lanciare comandi che vengono eseguiti con i privilegi dell’utente stesso”
La cosa che dovrebbe far sobbalzare tutti gli IT manager dalla sedia è che la nota di Microsoft dice che “se l’utente non è amministratore l’attacco avrà un impatto inferiore“. Inferiore non vole dire nullo!
Non c’è soluzione?
Anche se togliamo i privilegi amministrativi Microsoft, che risolve comunque oltre il 90% dei problemi di sicurezza come abbiamo già scritto qui, non abbiamo la certezza di porci al riparo da furti di informazioni o distruzioni del nostro sistema informatico.
La soluzione esiste ma occorre seguire tutti i cinque capisaldi delle linee guida raccomandate dal Thales Group
Al primo posto sta l’application whitelisting senza il quale è oggi impossibile difendere efficacemente i propri sistemi.
Se volete saperne un po’ di più su questo approccio alla sicurezza, il posto giusto è questo: www.avecto.it
Avecto
