Microsoft

Swascan svela le vulnerabilità di Microsoft

Il team di Cybersecurity e bug hunting dell’azienda italiana Swascan ha scoperto 5 vulnerabilità relative ai server dell’infrastruttura IT di Microsoft.

Microsoft è uno dei leader multinazionali nel campo della tecnologia. I suoi prodotti software più noti sono la linea di sistemi operativi Microsoft Windows e la suite Microsoft Office. In più, oltre alla commercializzazione di consumer electronics come smartphone e tablet…, l’azienda di Seattle si è specializzata nel campo del cloud.

Swascan è la società italiana di Cyber Security fondata da Raoul Chiesa e Pierguido Iezzi. Swascan è la prima piattaforma cloud-based di Cybersecurity Testing che permette di identificare, analizzare e risolvere le vulnerabilità dei siti web e delle infrastrutture informatiche (clicca qui per una trova gratuita) .

Solo poche settimane fa Swascan, a testimonianza della bontà delle sue soluzioni, ha identificato 5 vulnerabilità relative all’infrastruttura server di Microsoft. Queste 5 vulnerabilità erano distribuite per livelli di rischio come segue:

  • Alto 3;

  • Medio 1;

  • Basso 1;

Se sfruttate, queste debolezze avrebbero potuto facilmente influire sull’integrità, la disponibilità e la riservatezza del sistema. Subito dopo aver scoperto queste informazioni cruciali Swascan ha contattato il personale di sicurezza di Microsoft.

Vulnerabilità di Microsoft

Le debolezze individuate riguardavano:

  • CWE – 119: Il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Alcuni linguaggi consentono l’indirizzamento diretto delle allocazioni di memoria e non garantiscono automaticamente che queste posizioni siano valide per il buffer di memoria a cui si fa riferimento. Ciò può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema.
  • CWE-94: Il software costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma non neutralizza – o lo fa in modo errato – elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto. Quando il software permette all’input di un utente di contenere la sintassi del codice, potrebbe essere possibile per un potenziale aggressore creare il codice in modo tale da alterare il flusso di controllo previsto del software. Una tale alterazione potrebbe portare ad un’esecuzione arbitraria del codice. I problemi di “code injection” comprendono un’ampia varietà di problematiche – tutte attenuate in modi molto diversi. Per questo motivo, il modo più efficace per discutere queste debolezze è quello di notare le distinte caratteristiche che le classificano come debolezze del “code injection”. Uno degli aspetti più intriganti è che tutti i problemi in questo campo condividono una cosa in comune: permettono l’iniezione di dati del “control plane” nel piano dati controllato dall’utente. Ciò significa che l’esecuzione del processo può essere modificata inviando codice attraverso canali dati legittimi, senza utilizzare altri meccanismi. Mentre i buffer overflow, e molti altri difetti, comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi basati sull’iniezione SQL e le vulnerabilità delle stringhe di formato.
  • CWE-200: Una “information exposure”  è la divulgazione intenzionale o non intenzionale di informazioni ad un attore che non è esplicitamente autorizzato ad avere accesso a tali informazioni.

Le informazioni possono essere di due tipi:

  • – o sensibili nell’ambito delle funzionalità proprie del prodotto, come per esempio un messaggio privato;
  • – o sensibili perché forniscono informazioni sul prodotto o sul suo ambiente che potrebbero essere utili in un attacco, ma che normalmente non sono disponibili per l’aggressore, come per esempio il percorso di installazione di un prodotto accessibile a distanza.

Swascan e Microsoft

In linea con lo spirito e gli obiettivi di Swascan, questo articolo non è destinato a discutere o individuare le vulnerabilità identificate. Lo scopo di questo articolo è quello di sottolineare l’importanza di una reale cooperazione tra i fornitori di software e le società di Cybersecurity.

L’attenzione di Microsoft ai risultati dei test di Swascan, insieme agli scambi di e-mail e alle attività di valutazione, hanno portato a una delle collaborazioni più serie, professionali e trasparenti che siamo stati in grado di realizzare nelle nostre carriere. Per questi motivi, il team Swascan desidera congratularsi con gli esperti di sicurezza, di reverse engineering e i programmatori che lavorano con Microsoft. Questo caso riflette perfettamente la necessità di collaborazione tra le società di sicurezza informatica (Swascan) e i fornitori (il team di Microsoft).

“I CERT, Security Response Center e PSIRT, giocano un ruolo chiave nell’ecosistema della sicurezza nel mondo digitale in cui viviamo oggi. La nostra speranza è quella di trovare team sempre più preparati, proprio come il team del Microsoft Security Response Center, che ha dimostrato un comportamento esemplare oltre a una incredibile attenzione e cura per i propri clienti”, ha dichiarato il Co-founder di Swascan Pierguido Iezzi.

Pierguido Iezzi, Co-founder di Swascan e CyberSecurity Director

Raoul “Nobody” Chiesa Co-founder di Swascan e InfoSec addicted

www.swascan.com

[email protected]

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

ON PREMISE

Servizi Swascan