Software

Microsoft impiega un anno per risolvere bug critico di Windows

Microsoft ieri ha rilasciato la lista delle correzioni mensili per una serie di vulnerabilità software che influenzano i suoi prodotti. Per uno dei tre con rating “critico”, ci sono voluti più di 12 mesi per risolvere il problema. Se Microsoft avesse avuto a che fare con Google, che ha dato a tutte le imprese un termine di 90 giorni per risolvere i bug che trova, avrebbe avuto un po’ di fastidio. Può essere grata che stava lavorando a fianco del più paziente Jeff Schmidt, CEO di JAS Global Advisors, una società di servizi professionali.

Schmidt ha detto a Forbes che Microsoft ha affrontato il problema, che colpisce quasi tutti i business che gestiscono i sistemi Windows, in modo corretto, anche se Microsoft è venuta a conoscenza del problema a gennaio 2014. La falla interessa le aziende che utilizzano Active Directory, un componente fondamentale di Windows e un database “per impieghi speciali” utilizzato dall’IT per tutti i tipi di processi, compresa la gestione di accessi di rete. Non è un problema lato server ma un problema di client. Secondo Schmidt, in molti casi i dispositivi dei dipendenti non effettuano controlli adeguati sulla autenticità del server Active Directory da cui stanno ricevendo ordini. Sono essenzialmente “troppo fiduciosi”, ha detto.

windows-hacker-informatblog

In particolare, sono colpevoli di abuso del Domain Name System, che trasforma gli URL in un indirizzo IP comprensibile dalla macchina, per l’autenticazione, ha detto Schmidt. Un utente malintenzionato potrebbe truccare i PC, tablet o smartphone dei dipendenti connettendoli ad un server contraffatto Active Directory, notando che il potenziale di tale attacco “man-in-the-middle” renderebbe questa vulnerabilità capace di eseguire codice remoto, e sarebbe particolarmente pericolosa auando gli utenti usano una rete remota, non quella aziendale: un po’come quando usano internet Wi-Fi in un bar. E’ stato soprannominato JASBUG (tutti i bug richiedono la nomenclatura jazzy nel 2015) e potrebbe essere usato per spiare le attività aziendali dei dipendenti.

“Questa è una vera delusione,” Ha detto Schmidt, notando che è dovuto più ad un difetto di progettazione che di codifica. E nasce nel 2000, 15 anni fa, ma non ci sono stati exploit noti di vulnerabilità. Schmidt ha detto a Microsoft che ha dovuto scavare nelle “viscere” di Windows per eliminare JASBUG, ecco perchè il processo di bonifica è durato così a lungo. “Il messaggio urgente è che gli amministratori di reti Microsoft devono prestare attenzione a questo problema fin da ora. Non devono correre ma hanno bisogno di prestare attenzione”.

Anche se Schmidt era soddisfatto della risposta di Microsoft, altri non sono stati così gentili con l’azienda, che è stata costretta a gettare acqua sul fuoco Dirk Sigurdson di Rapid7 proprio ieri ha indicato una debolezza “egregia” nell’app Outlook per iOS e Android, che ignora le politiche di sicurezza impostate per gli amministratori IT su ActiveSync. “Se l’organizzazione dipende dalle politiche ActiveSync in ogni caso è necessario bloccare immediatamente l’accesso ActiveSync ad Outlook per iOS e Android”, ha raccomandato.

Verso la fine di gennaio, Microsoft è stata sotto i riflettori per alcune decisioni di progettazione insicure nella stessa applicazione mobile. Nello stesso mese, è stata criticata sulla decisione di fare avvisi anticipati per le patch per i clienti paganti, bloccando efficacemente coloro che non potevano permettersi il servizio, in precedenza liberamente disponibile a tutti. Ed ha avuto un braccio di ferro con Google, che ha pubblicato i dettagli di un gran numero di problemi del software Microsoft dopo che quest’ultima non ha rispettato il termine di 90 giorni per risolverli.

Relativamente al bug di Outlook, Microsoft ha inviato una dichiarazione via mail in cui non ha affrontato le critiche, ma solo per dire che era “impegnata a rendere l’applicazione Outlook user-friendly e IT-friendly. Il nostro primo rilascio è stato concentrato per portare una esperienza agli utenti finali”. Per quanto riguarda il JASBUG, Microsoft ha rilevato che “è stato un problema di fondo su come i sistemi di un dominio si connettono in remoto e recuperano i dati sui Criteri di gruppo. Solo i sistemi uniti ai domini Active Directory vengono colpiti, ma è importante chiarire che non si tratta di una vulnerabilità in Active Directory in sè”.

Conclude Microsoft: “Abbiamo rilasciato il bollettino di sicurezza MS15-011 per rendere più sicuro l’accesso alla rete e rafforzare le politiche di gruppo”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti