Scoperte 5 vulnerabilità relative ai server dell’infrastruttura IT di Microsoft. A individuarle è stata la società di sicurezza italiana Swascan. Se sfruttate, queste vulnerabilità avrebbero potuto facilmente influire sull’integrità, la riservatezza e la disponibilità dei dati trattati, gestiti ed archiviati dai sistemi server interessati, spiega Swascan che dopo la scoperta ha contattato il Team di Sicurezza di Microsoft Usa.
Tutte le vulnerabilità Microsoft
Le debolezze individuate sono di tre tipi. Innanzitutto CWE-94 ovvero la vulnerabilità relativa alla code injection. Questa criticità permette a un terzo di inserire linee di codice all’interno di un altro software o applicativo. Spesso il codice iniettato è malevolo e permette all’attaccante di prendere il possesso del dispositivo, applicativo con privilegi di amministratore.
Uno degli aspetti più intriganti è che tutti i problemi in questo campo permettono l’iniezione di dati del control plane nel piano dati controllato dall’utente. Significa che l’esecuzione del processo può essere modificata inviando codice attraverso canali dati legittimi, senza utilizzare altri meccanismi.
Mentre i buffer overflow e molti altri difetti comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi basati sull’iniezione SQL e le vulnerabilità delle stringhe di formato. Ecco quindi CWE-119: a ogni processo e applicativo informatico viene assegnato un puntatore con una relativa area di memoria del sistema su cui deve operare.
Questa vulnerabilità potrebbe consentire a un malintenzionato di modificare il puntatore dirottando il processo informatico a uno spazio di memoria manomesso con un malware, oppure causare il blocco del sistema o la sottrazione di informazioni sensibili. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema.
Individuata anche CWE-200, vulnerabilità che permette a una terza parte, senza alcuna autorizzazione, di accedere a una serie di Informazioni relative alla configurazione del sistema o dati presenti nel sistema. Di fatto è un errore di configurazione del sistema stesso. La società italiana sottolinea l’attenzione di Microsoft ai risultati dei test che ha portato a una seria collaborazione, questo caso – aggiunge – riflette perfettamente la necessità di collaborazione tra le società di sicurezza informatica e i fornitori di software.
