Le vulnerabilità presenti nei browser Web, nei software Office, nei client di posta elettronica e nei lettori multimediali.

• C1. Browser Web
• C2. Software Office
• C3. Client di posta elettronica
• C4. Lettori multimediali

C1. Browser Web

C1.1 Descrizione

Microsoft Internet Explorer è il browser per la navigazione del web più diffuso e viene installato per default su tutti i sistemi Windows. Le versioni più datate o non aggiornate di Internet Explorer contengono svariate vulnerabilità che possono portare a problemi di memoria, spoofing (siti web ingannevoli) e all'esecuzione incontrollata di script potenzialmente dannosi. I problemi più gravi sono quelli che portano all'esecuzione di codice in modalità remota senza alcun intervento dell'utente mentre si visita una pagina web o si legge un messaggio email. Il codice per sfruttare molte delle vulnerabilità critiche di Internet Explorer è disponibile pubblicamente. Come se non bastasse, Internet Explorer viene utilizzato come leva per sfruttare le vulnerabilità presenti in altri componenti fondamentali di Windows come l'Help HTML e il Graphics Rendering Engine. Durante l'anno appena trascorso sono state scoperte centinaia di vulnerabilità in controlli ActiveX installati da Microsoft o da altri produttori di software. Anche queste vengo sfruttate tramite Internet Explorer.

Mozilla Firefox è il browser web più popolare dopo Internet Explorer e anch'esso raccoglie una parte importante delle vulnerabilità. Nel corso del 2007 ha rilasciato molti aggiornamenti per correggere le vulnerabilità scoperte divenute pubbliche. Come per Internet Explorer, le versioni più vecchie o non aggiornate di Firefox contengono molte vulnerabilità che possono portare a problemi di memoria, spoofing ed esecuzione incontrollata di script o codice dannoso. I siti web che sfruttano le vulnerabilità dei browser di solito ospitano diversi exploit e lanciano di volta in volta gli exploit specifici per il browser che la potenziale vittima sta utilizzando.

Con l'esplosione dei contenuti multimediali nei siti web, un parallelo aumento è stato osservato nel numero di Browser Helper Object di terze parti e di plug-in utilizzati per accedere a vari tipi di file MIME, come documenti o multimedia. Questi plug-in spesso si basano su linguaggi di scripting lato client quali Macromedia Flash o Shockwave. Molti di questi plug-in sono installati in modalità (semi)trasparente da un sito web. Gli utenti possono quindi non essere consapevoli del fatto che un Helper Object o un plug-in a rischio è installato sul proprio sistema. Questi plug-in aggiuntivi rappresentano delle nuove autostrade per hacker che intendono sfruttarle per compromettere i computer degli utenti che visitano siti web maligni.

Nel mese di ottobre 2007, ad esempio, si è scoperto che i sistemi che eseguono Windows XP e Windows Server 2003 con Windows Internet Explorer 7 non gestiscono correttamente alcuni Uniform Resource Identifiers (URI). Creando un particolare URI in un documento PDF, gli aggressori sono stati in grado di eseguire comandi arbitrari su sistemi vulnerabili

Per quanto alcuni plug-in come Adobe Reader e Quicktime eseguano controlli sulla versione installata e forniscano una funzione di aggiornamento, queste funzioni vengono spesse ignorate o considerate con irritazione dagli utenti. Spesso è poi difficile rilevare la versione installata di un plug-in. Ad esempio, i sistemi possono avere installato diverse versioni di Shockwave per motivi di compatibilità all'indietro, ma l'utente non può facilmente scoprire la versione o le versioni in esecuzione

Queste vulnerabilità sono state largamente utilizzate per installare spyware, adware ed altro software dannoso sui sistemi degli utenti. I problemi di spoofing sono la base per condurre gli attacchi di phishing (la duplicazione di pagine web atta carpire all'utente informazioni personali, finanziarie o semplicemente le sue password). Sono molti anche i casi di vulnerabilità cosiddette zero-days per le quali la patch (la rettifica della parte del software che consente di risolvere il problema) non era disponibile al momento in cui la vulnerabilità è stata resa pubblica. Molti vulnerabilità tra i plug-in sono state ampiamente sfruttate da siti web maligni prima che le patch siano state messe a disposizione dal fornitore. Nel solo 2007, Microsoft ha rilasciato svariati aggiornamenti per Internet Explorer:

• Aggiornamento cumulativo per la protezione di Internet Explorer (939653) (MS07-057)
• Una vulnerabilità in Vector Markup Language può consentire l'esecuzione di codice in modalità remota (938127) (MS07-050)
• Aggiornamento cumulativo per la protezione di Internet Explorer (937143) (MS07-045)
• Aggiornamento cumulativo per la protezione di Internet Explorer (933566) (MS07-033)
• Vulnerabilità in GDI possono consentire l'esecuzione di codice in modalità remota (925902) (MS07-017)
• Aggiornamento cumulativo per la protezione di Internet Explorer (931768) (MS07-027)
• Aggiornamento cumulativo per la protezione di Internet Explorer (928090) (MS07-016)
• La vulnerabilità in Vector Markup Language può consentire l'esecuzione di codice in modalità remota (929969) (MS07-004)

Si noti che il più recente aggiornamento cumulativo per la protezione di Internet Explorer comprende tutti gli aggiornanti cumulativi precedenti. Da notare anche che MS07-017 non elenca vulnerabilità di Internet Explorer, ma la via più comune per sfruttare è. Appunto, tramite Internet Explorer.

C1.2 Sistemi operativi interessati

Per quanto in teoria qualsiasi web browser e qualsiasi sistema operativo sia vulnerabile, i browser web più diffusi tendono ad essere presi maggiormente di mira dagli attacchi. Oggi i due web browser più popolari in Internet sono Microsoft Internet Explorer e Mozilla Firefox.

Internet Explorer 5.x, 6.x e 7 operanti su qualunque versione di Windows sono colpiti.

Firefox operante su qualunque versione dei sistemi operativi compatibili è potenzialmente vulnerabile.

Siccome i plug-in sono generalmente utilizzati per consentire l'accesso a formati di file di terze parti, molte vulnerabilità dei plug-in affliggono tutti i browser compatibili su tutti i sistemi operativi. Qualsiasi browser web che gira su qualsiasi versione di qualsiasi sistema operativo è potenzialmente vulnerabile.

C1.3 Riferimenti CVE

Internet Explorer

CVE-2006-4697, CVE-2007-0024, CVE-2007-0217, CVE-2007-0218, CVE-2007-0219, CVE-2007-0942, CVE-2007-0944, CVE-2007-0945, CVE-2007-0946, CVE-2007-0947, CVE-2007-1749, CVE-2007-1750, CVE-2007-1751, CVE-2007-2216, CVE-2007-2221, CVE-2007-2222, CVE-2007-3027, CVE-2007-3041, CVE-2007-3826, CVE-2007-3892, CVE-2007-3896

Firefox

CVE-2007-0776, CVE-2007-0777, CVE-2007-0779, CVE-2007-0981, CVE-2007-1092, CVE-2007-2292, CVE-2007-2867, CVE-2007-3734, CVE-2007-3735, CVE-2007-3737, CVE-2007-3738, CVE-2007-3845, CVE-2007-4841, CVE-2007-5338

Adobe Acrobat Reader

CVE-2007-0044, CVE-2007-0046, CVE-2007-0103, CVE-2007-5020

I riferimenti CVE per plug-in come i Lettori multimediali sono elencati nella sezione C4.

C1.4 Come stabilire se si è a rischio

Utilizzate un qualsiasi vulnerability scanner per verificare se il vostro sistema è protetto rispetto ai problemi elencati.

Per Internet Explorer prendete in considerazione anche l'uso di sistemi per la valutazione dello stato degli aggiornamenti dei vostri sistemi quali Microsoft Windows Server Update Services (WSUS), Microsoft Baseline Security Analyzer (MBSA), Windows Live Scanner o Systems Management Server (SMS).

Per scoprire quali sono i plug-in usati più di recente da Internet Explorer 7, selezionate Strumenti -> Opzioni Internet. Alla sezione Programmi, scegliete Gestisci componenti aggiuntivi. Potete scegliere diverse viste dei plug-in del browser, compresa quella dei componenti aggiuntivi attualmente caricati, quelli che sono stati usati da Internet Explorer e quelli configurati per essere eseguiti senza richiedere l'autorizzazione dell'utente. Potrete disabilitare ciascuno di questi componenti aggiuntivi sezionando lo specifico plug-in e scegliendo Disabilita.

Per Firefox, selezionate Strumenti -> Opzioni -> Contenuti -> Tipi di File -> Gestione per vedere come Firefox gestisce i vari formati di file.

Alcune terze parti hanno iniziato a rilasciare strumenti come Secunia PSI (attualmente in versione beta) che analizzano la versione e le patch degli helper object che il browser usa.

C1.5 Come proteggersi da queste vulnerabilità

• Se utilizzate Internet Explorer sui vostri sistemi Windows XP, il modo migliore per rimanere sicuri è quello di aggiornarli a Windows XP Service Pack 2. I miglioramenti nella sicurezza del sistema operativo e il Windows Firewall contribuiranno a ridurre i rischi. A coloro che non possono passare a Windows XP con Service Pack 2 è vivamente raccomandato l'utilizzo di un diverso browser.
• Si raccomanda anche il passaggio alla versione 7 di Internet Explorer, che fornisce una sicurezza maggiore rispetto alle versioni precedenti. L'ultima versione di Internet Explorer, IE7, viene distribuita da Microsoft come aggiornamento critico (KB926874)
• Mantenete i sistemi aggiornati con le patch e i service pack più recenti. Quando possibile, abilitate l'opzione Aggiornamenti automatici su tutti i sistemi.
• Per ridurre l'esposizione agli attacchi zero day, prestate attenzione ai Bollettini sulla sicurezza Microsoft e mettete in atto i suggerimenti per ridurre il pericolo prima che la patch sia disponibile.
• Per prevenire la possibilità di sfruttare le vulnerabilità che consentono l'esecuzione di codice in modalità remota a livello di Amministratore, si possono usare strumenti quali Microsoft DropMyRights eseguire Internet Explorer con "privilegi minimi".
• Evitate che componenti ActiveX vulnerabili siano operativi attraverso Internet Explorer con il meccanismo "killbit" (Interruzione dell'esecuzione di un controllo ActiveX in Internet Explorer)
• Molti programmi spyware vengono installati quali Assistente del Browser (Browser Helper Object). Un Browser Helper Object o BHO è un piccolo programma che viene automaticamente eseguito ogni volta che si avvia Internet Explorer e ne aggiunge alcune funzionalità. I Browser Helper Object possono essere individuati utilizzando uno scanner Antispyware.
• Utilizzate sistemi di Intrusion Prevention/Detection e software Anti-virus, Anti-Spyware e Malware per bloccare il codice di script HTML dannosi.
• I sistemi Windows 98/ME/NT non sono più supportati per quel che riguarda gli aggiornamenti. Coloro che ancora li usano dovrebbero valutare la possibilità di passare a Windows XP.
• Prendete in considerazione l'utilizzo di browser diversi, che non supportino la tecnologia ActiveX come,. Ad esempio, Mozilla Firefox.

C1.6 Come rendere sicuri i browser web

Per configurare le impostazioni di sicurezza di Internet Explorer:

• Scegliere Opzioni Internet dal menu Strumenti.
• Scegliere l'opzione Protezione e quindi impostare Livello personalizzato nell'area Internet.

La maggior parte delle vulnerabilità di IE vengono sfruttate attraverso Active Scripting o i Controlli ActiveX.

• Nella sezione Esecuzione script, scegliete Disattiva per la voce "Consenti operazioni di copia tramite script" per evitare che sia possibile vedere i contenuti dei vostri appunti (clipboard). Nota: Disabilitando Active Scripting è possibile che alcuni siti web non funzionino più correttamente.

I Controlli ActiveX sono meno conosciuti, ma sono potenzialmente molto più pericolosi in quanto permettono un maggiore accesso al sistema

• Scegliete Disattiva per la voce "Scarica controlli ActiveX con firma elettronica". Scegliete Disattiva anche per la voce "Scarica controlli ActiveX senza firma elettronica" e "Inizializza e esegui script controlli ActiveX non contrassegnati come sicuri".

Gli applet Java hanno di solito potenzialità anche maggiori rispetto agli script.

• Sotto Microsoft VM, scegliete Protezione Alta per le Autorizzazioni Java, in modo da mantenere sotto controllo gli applet Java ed evitare un accesso con privilegi al vostro sistema.
• Sotto Varie, selezionate Disattiva alla voce "Accesso all'origine dati a livello di dominio", per evitare gli attacchi Cross-site scripting.

Controllate anche non vi sia alcun sito sospetto nell'area Siti attendibili e nell'Intranet Locale, in quanto per queste aree le impostazioni di sicurezza sono inferiori rispetto alle altre.

Microsoft ha pubblicato una guida per migliorare la sicurezza di Internet Explorer (in inglese): "Internet Explorer 7 Desktop Security Guide". Essa prende in esame le nuove funzionalità e le impostazioni che possono essere modificate per ottenere una configurazione della sicurezza più "sigillata" per Internet Explorer 7.

Per configurare le impostazioni di sicurezza di Firefox:

• Scegliere Opzioni dal menu Strumenti.
• Ulteriori personalizzazioni della configurazione di Firefox si trovano su http://kb.mozillazine.org/About:config.

Per aggiornare i plug-in usati dai browser:

• La maggior parte dei plug-in presentano l'opzione "Check for Updates" o "Controlla aggiornamenti". Di solito si trova sotto i menu "Opzioni", Preferenze" o "Aiuto".
• Scegliete "Controlla aggiornamenti " per controllare che il software sia installato nella sua versione più recente.

C1.7 Approfondimenti

Informazioni sulla sicurezza dei Browser Web US-CERT
http://www.us-cert.gov/reading_room/securing_browser/browser_security.html

Internet Explorer 7 Desktop Security Guide
http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF-AF4AFE4C84B2&displaylang=en

Microsoft Internet Explorer Weblog
http://blogs.msdn.com/ie/

Mozilla Security Center
http://www.mozilla.org/security/

Vulnerabilità di Firefox
http://www.mozilla.org/projects/security/known-vulnerabilities.html

@Risk: The Consensus Security Alert
https://www.sans.org/newsletters/risk/

C2. Software Office

C2.1 Descrizione

Questa sezione tratta delle vulnerabilità delle suite office per la produttività che includono client di posta elettronica, elaboratori di testo, fogli di calcolo, visualizzatori di documenti e applicazioni per la presentazione. Le vulnerabilità presenti in questi prodotti vengono sfruttate tramite le seguenti direttrici d'attacco:

• L'aggressore spedisce un documento office con particolari caratteristiche in un messaggio email. Quando l'allegato viene aperto, i contenuti dannosi presenti nel documento sfruttano le vulnerabilità nel software office.
• L'aggressore inserisce il documento su un web server o una cartella condivisa e istiga l'utente ad accedere alla pagina Web o alla cartella condivisa. Si noti che in molti casi Internet Explorer apre automaticamente i documenti Microsoft Office, per cui la sola visita alla pagina Web o alla cartella è sufficiente per approfittare della vulnerabilità.
• L'aggressore opera con un server di news (NNTP) o dirotta il flusso di un feed RSS che spedisce documenti dannosi ai client news e RSS.

In tutti questi scenari, sul computer della vittima possono essere installati virus, trojan, spyware, ad-ware (software che generano messaggi pubblicitari indesiderati), rootkit, keyboard logger (software che registrano ciò che si digita sulla tastiera) o qualsiasi altro programma predisposto da coloro che hanno avviato l'attacco.

Microsoft Office è la suite per la posta elettronica e la produttività individuale più utilizzata al mondo. Comprende applicazioni quali Outlook, Word, PowerPoint, Excel, Visio, FrontPage e Access. Sono stati riportati numerosi problemi critici per quanto riguarda le applicazioni MS Office e alcune di queste (CVE-2006-5574, CVE-2006-1305, CVE-2006-6456, CVE-2006-6561, CVE-2006-5994, CVE-2007-0515, CVE-2007-0671, CVE-2007-0045) sono state utilizzate nella fase zero-day, ovvero quando il codice per sfruttare la vulnerabilità, i dettagli tecnici della stessa o una dimostrazione della stessa sono stati resi pubblici prima che qualsiasi correzione fosse stata resa disponibile da parte di Microsoft.

 

I problemi critici rilevati lo scorso anno nei prodotti Office sono:

• Esecuzione di codice in modalità remota in Microsoft Excel (MS07-002)
• Esecuzione di codice in modalità remota in Microsoft Outlook (MS07-003)
• Esecuzione di codice in modalità remota in Microsoft Outlook (MS07-014)
• Esecuzione di codice in modalità remota in Microsoft Office (MS07-015)
• Esecuzione di codice in modalità remota in Microsoft Excel (MS07-023)
• Esecuzione di codice in modalità remota in Microsoft Word (MS07-024)
• Esecuzione di codice in modalità remota in Microsoft Office (MS07-025)
• Microsoft Outlook Express e Windows Mail (MS07-034)
• Esecuzione di codice in modalità remota in Microsoft Excel (MS07-036)
• Esecuzione di codice in modalità remota in Microsoft Excel (MS07-044)
• Esecuzione di codice in modalità remota in Adobe Reader e Acrobat (APSB07-18)
• Cross Site Scripting in Adobe Reader e Acrobat (APSA07-01)

C2.2 Sistemi operativi interessati

Windows 9x, Windows 2000, Windows XP, Windows 2003, Windows Vista, MacOS X sono tutti vulnerabili a seconda del software office installato.

C2.3 Riferimenti CVE

CVE-2007-0027, CVE-2007-0028, CVE-2007-0029, CVE-2007-0030, CVE-2007-0031, CVE-2007-0034, CVE-2007-0208, CVE-2007-0209, CVE-2007-0515, CVE-2007-0671, CVE-2007-0215, CVE-2007-1203, CVE-2007-0035, CVE-2007-0870, CVE-2007-1747, CVE-2007-1658, CVE-2007-1756, CVE-2007-3030, CVE-2007-3890

C2.4 Come stabilire se si è a rischio

Sono vulnerabili le installazioni di MS Office che operano senza le patch citate nei Bollettini Microsoft elencati nei record CVE citati qui sopra. Utilizzate un qualsiasi vulnerability scanner per verificare se il vostro sistema è protetto rispetto ai problemi elencati. Prendete anche in considerazione l'uso di sistemi per la valutazione dello stato degli aggiornamenti dei vostri sistemi quali Microsoft Windows Server Update Services (WSUS), Microsoft Baseline Security Analyzer (MBSA), Windows Live OneCare o Systems Management Server (SMS).

C2.5 Come proteggersi dalle vulnerabilità dei software office

• Mantenete i sistemi aggiornati con le patch e i service pack più recenti. Se possibile, abilitate gli Aggiornamenti automatici su tutti i sistemi.
• Non aprite allegati che provengono da fonti non conosciute. Usate molta cautela anche nell'aprire allegati inaspettati anche nelle e-mail provenienti da indirizzi noti.
• Evitate la pratica del "click browsing" per evitare di aprire documenti su siti web sconosciuti. Il click browsing è l'abitudine di girare il web cliccando i link presenti nei messaggi e-mail o nei forum online. Se dovete tenere nota di un indirizzo, usate la funzione preferiti presente su qualsiasi browser
• Disabilitate la funzione di Internet Explorer che apre automaticamente i documenti Office.
• Configurate Outlook e Outlook Express con le impostazioni di protezione avanzate.
• Usate un vulnerability scanner per verificare il vostro livello di rischio.
• Utilizzate sistemi di Intrusion Prevention/Detection e software Anti-virus e per la rilevazione di Malware per evitare che documenti e risposte del server dannose raggiungano gli utenti finali della vostra rete.
• Utilizzate sistemi di filtro dei contenuti web e delle email a livello di rete per evitare che documenti Office dannosi raggiungano i sistemi degli utenti finali.

C2.6 Approfondimenti

Come rendere sicuro Microsoft Office
http://www.microsoft.com/technet/security/guidance/clientsecurity/2007office/default.mspx

C3. Client di posta elettronica

C3.1 Descrizione

La posta elettronica è una delle applicazioni fondamentali di Internet. Offre significativi vantaggi in termini di tempo, di denaro e di efficienza. Tuttavia, considerata la sua diffusione, si presta ad essere un diffuso vettore di molteplici vulnerabilità.

Sono molti gli attacchi che possono essere realizzati attraverso la posta elettronica:

• diffusione di malfare (virus, Trojan, keylogger, spyware, adware, rootkit ecc);
• phishing - Tentativi di sottrarre all'utente la password o altre informazioni confidenziali;
• spam - posta non desiderata (spazzatura);
• social engineering;
• attacchi denial of service - invio di un ingente numero di messaggi di posta elettronica a una potenziale vittima, server o casella di posta;

Questi attacchi possono provocare:

• danni a applicazioni, dati o sistema operativo;
• diffusione di informazioni confidenziali;
• propagazione di malware;
• l'uso dei sistemi colpiti come "bot" (macchine infette che cadono sotto il controllo di persone diverse dagli utenti legittimi, che le usano come proxy per attaccare altri sistemi o come postazioni di archiviazione e distribuzione di materiale pirata e pornografico);
• carenza di disponibilità dei sistemi e dei servizi;
• perdita di tempo, denaro e lavoro.

Attualmente tutti i sistemi operativi presenti sul mercato possono essere utilizzati come piattaforma per le applicazioni di client di posta.

Al momento, le applicazioni e-mail più diffuse sono:

• Microsoft Outlook (solo Microsoft Windows) e Outlook Express (solo Microsoft Windows; la vecchia versione era disponibile anche per Macintosh);
• Mozilla Thunderbird (Microsoft Windows, Linux, Mac OS X);
• Mail.app (solo Macintosh)

Ci sono altri client di posta (Opera mail, Pegasus, Mozilla SeaMonkey, The Bat!, Eudora ecc), ma la loro diffusione è relativamente bassa.

A prescindere dal sistema operativo utilizzato, è opportuno seguire alcune precauzioni ogni qualvolta utilizzate una applicazione di posta elettronica. (vedi C3.4 Come proteggersi contro le vulnerabilità dei client di posta elettronica)

C3.2 Sistemi operativi interessati

Windows 2000 Workstation e server, Windows XP Home e Professional, Windows Vista, Windows Server 2003, Mac OS X, Linux e Unix sono tutti potenzialmente vulnerabili.

C3.3 Riferimenti CVE

Microsoft Outlook Express, Outlook, Vista Windows Mail
CVE-2006-4868, CVE-2007-0033, CVE-2007-0034, CVE-2007-3897

Mozilla Thunderbird, SeaMonkey
CVE-2006-4565, CVE-2006-4571, CVE-2006-5463, CVE-2006-5747, CVE-2006-6502, CVE-2006-6504, CVE-2007-0777, CVE-2007-0779, CVE-2007-1282, CVE-2007-2867, CVE-2007-3734, CVE-2007-3735, CVE-2007-3845

Eudora
CVE-2006-0637, CVE-2006-6024, CVE-2006-6336, CVE-2007-2770

C3.4 Come proteggersi contro le vulnerabilità dei client di posta elettronica

• Rimuovete il client di posta dai sistemi server, o comunque dove non è necessario.
• Non eseguite nessun client di posta sui server e sulle postazioni di lavoro con informazioni confidenziali.
• Qualora doveste lanciare l'applicazione di posta su un qualsiasi sistema, assicuratevi:
  • di usare l'ultima versione del client di posta e di abilitare la funzione di aggiornamento automatico fornita dall'applicazione o dal sistema operativo.
  • Usate un software antivirus con l'aggiornamento delle firme dei virus. Se possibile, configurate il software antivirus affinché effettui un monitoraggio in tempo reale e aggiorni se quotidianamente le firme dei virus.
  • Non eseguite i client di posta su un account di amministratore, o su altri account con privilegi elevati.
  • Se dovete assolutamente utilizzare la posta elettronica quando siete collegati come Administrator su un sistema Windows, usate software come "Drop My Rights" per ridurre i privilegi disponibili sulle applicazioni di posta.
  • Non aprite nessun messaggio proveniente da mittenti sconosciuti o sospetti.
  • Non rispondete alla posta spazzatura (spam), anche se esiste un opzioni per cancellare l'iscrizione da una lista.
  • Visualizzate i messaggi di posta come testo normale, o con la minima formattazione possibile: HTML e RTF (due schemi di formattazione avanzata per i messaggi di posta) permettono lo scripting e altri metodi di attacco.
  • Non aprite alcun allegato senza averlo precedentemente esaminato con un programma antivirus.
  • Configurate il vostro client di posta in modo che non invii ricevute di ritorno o conferme di lettura.
  • Per lo scambio sicuro di posta utilizzate la firma digitale e/o la crittografia.

Dettagli e impostazioni di configurazione specifici delle applicazioni che possono migliorare la sicurezza del client di posta.

Outlook/Outlook Express/Windows Mail

Outlook Express è compreso nel pacchetto di Internet Explorer ed è installato per default su Windows 98, 2000, XP, 2003. Windows Vista sostituisce Outlook Express con Windows Mail.

• Se Outlook Express non è necessario al sistema è raccomandabile disinstallarlo.
• Se Outlook Express è installato nel sistema, mantenetelo aggiornato.
• Gli aggiornamenti di Outlook Express sono inclusi negli aggiornamenti di Internet Explorer. Se aggiornate Internet Explorer all'ultima versione o al livello più recente di service pack, automaticamente aggiornerete anche Outlook Express.

Parametri di configurazione per Outlook Express

• Outlook Express - Strumenti - Opzioni - Lettura - Selezionate "Leggi tutti i messaggi in testo normale".
• Outlook Express - Strumenti - Opzioni - Conferme - Selezionate "Non inviare mai una conferma di lettura"
• Outlook Express - Strumenti - Opzioni - Protezione - Selezionate l'area di protezione di Internet Explorer da utilizzare - Selezionate "Area siti con restrizioni"
• Outlook Express - Strumenti - Opzioni - Protezione - Selezionate "Avvisa se altre applicazioni tentano l'invio di posta con l'account in uso"
• Outlook Express - Strumenti - Opzioni - Protezione - Selezionate "Non consentire salvataggi o aperture di allegati che potrebbero contenere virus"
• Outlook Express - Strumenti - Opzioni - Protezione - Selezionate "Blocca immagini e altri contenuti esterni nella posta elettronica HTML"
• Outlook Express - Strumenti - Opzioni - Manutenzione - Selezionate "Svuota la cartella Posta eliminate all'uscita"
• Outlook Express - Strumenti - Account - Posta elettronica - Selezionate "Proprietà" per ciascun account di posta - Server - togliete l'opzione "Ricorda password"

Parametri di configurazione per Outlook

Impostazioni per Outlook 2003:

• Outlook - Strumenti - Opzioni - Preferenze - Opzioni di posta elettronica - Selezionate "Visualizza tutti i messaggi standard in formato testo normale".
• Outlook - Strumenti - Opzioni - Protezione - Aree di sicurezza - Area - Selezionate "Siti con restrizioni".
• Outlook - Strumenti - Opzioni - Protezione - Download di immagini - Cambia impostazioni download automatico - Selezionate "Non scaricare automaticamente immagini o altro contenuto dei messaggi HTML".
• Outlook - Strumenti - Opzioni - Protezione - Download di immagini - Cambia impostazioni download automatico - Selezionate "Avvisa prima di scaricare contenuto durante la modifica, l'inoltro o la risposta a messaggi".
• Outlook - Strumenti - Opzioni - Preferenze - Posta indesiderata - Opzioni - Seleziona il livello di protezione per la posta indesiderata - Scegliete "Basso", "Alto" o "Solo elenchi indirizzi attendibili".
• Outlook - Strumenti - Opzioni - Preferenze - Posta indesiderata - Opzioni - Selezionate "Non attivare nei messaggi i collegamenti a siti potenzialmente pericolosi o fraudolenti".
• Outlook - Strumenti - Opzioni - Altro - Selezionate "Svuota la cartella Posta eliminata all'uscita"
• Outlook - Strumenti - Account di posta elettronica - per ciascun account di posta elettronica togliete l'opzione "Ricorda password".

Le stesse impostazioni, o parametri molto simili, possono essere impostati in Outlook 2007 dal percorso:
Outlook 2007 - Strumenti - Trust Center - E-mail Security

Parametri di configurazione per Mozilla Thunderbird (versione 2.0 e successive)

• Thunderbird - Visualizza - Corpo del messaggio come - "Testo semplice"
• Thunderbird - Visualizza - Deselezionate "Mostra allegati in linea"
• Thunderbird - Strumenti - Opzioni - Avanzate - Editor di configurazione - javascript.allow.mailnews - Scegliete nel campo Valore "False"
• Thunderbird - Strumenti - Opzioni - Avanzate - Editor di configurazione - javascript.enabled - Scegliete nel campo Valore "False"
• Thunderbird - Strumenti - Opzioni - Avanzate - Editor di configurazione - javascript.options.strict - Scegliete nel campo Valore "True"
• Thunderbird - Strumenti - Opzioni - Privacy - Frodi via posta - Selezionate "Avvisa sempre se il messaggio che si sta leggendo è un possibile tentativo di frode"
• Thunderbird - Strumenti - Opzioni - Privacy - Anti-Virus - Selezionate "Consenti al programma antivirus di mettere in quarantena i singoli messaggi in arrivo"

C3.5 Approfondimenti

Navigare il Web e leggere le e-mail in sicurezza come Administrator
http://msdn2.microsoft.com/en-us/library/ms972827.aspx

Visualizzazione di tutti i messaggi di posta elettronica come testo normale
http://support.microsoft.com/kb/831607

Panoramica della crittografia in Outlook 2003
http://office.microsoft.com/en-us/ork2003/HA011402871033.aspx

Firma digitale e crittografia (Outlook 2007)
http://office.microsoft.com/en-us/outlook/CH100622261033.aspx

Service Pack (Microsoft Office e Microsoft Outlook)
http://support.microsoft.com/sp/

Download di Microsoft Office
http://office.microsoft.com/it-it/downloads/FX101321101040.aspx?pid=CL100570421040

Bloccare e sbloccare i link nei messaggi sospetti di phishing
http://office.microsoft.com/en-us/outlook/HA011841931033.aspx

Filtro per la posta indesiderata
http://office.microsoft.com/it-it/outlook/CH063564711040.aspx

Personalizzare Outlook Security Features Administrative Package
http://office.microsoft.com/en-us/orkXP/HA011364471033.aspx

Impostazioni relative a sicurezza e privacy (Thunderbird)
http://kb.mozillazine.org/Category:Security_and_privacy-related_preferences

Security Policies (Thunderbird)
http://kb.mozillazine.org/Security_Policies

C4. Lettori multimediali

C4.1 Descrizione

Comunemente vengono scaricati da Internet contenuti multimediali di vario tipo, legati all'intrattenimento, alle notizie, a contenuti di interesse economico o educativo. Per eseguire o visualizzare tali contenuti (musica, video, foto, etc.), a prescindere dalla loro origine, i computer ha bisogno di applicazioni chiamate media player o lettori multimediali.

La maggior parte dei moderni sistemi operativi sono configurati per comprendere automaticamente almeno pacchetto software standard per la lettura di contenuti multimediali. Sono anche disponibili applicazioni di parti terze che eseguono formati di solito non supportati dal set delle applicazioni standard. Tali supporti sono spesso necessari per l'esecuzione di formati proprietari che i fornitori devono concedere in licenza per aggiungere compatibilità alle loro applicazioni multimediali. Queste applicazioni aggiuntive sono di norma installate alla bisogna, a volte anche in modo automatico, per consentire l'esecuzione dei contenuti multimediali che le richiedono. Una volta installate, tali applicazioni possono essere facilmente dimenticate e trascurate dagli amministratori IT responsabili della gestione e del supporto patch, spesso perché questi non sono nemmeno consapevoli della loro esistenza sul singolo sistema.

Durante l'anno appena trascorso sono state riscontrate vulnerabilità per la maggior parte dei lettori multimediali attualmente più diffusi. Per quanto la criticità di tali vulnerabilità sia di vario tipo, tali vulnerabilità possono spesso essere sfruttate per installare malware come virus, applicazioni bot-net, root kit, spy-ware e ad-ware.

Anche se questa lista presenta un panoramica dettagliata dei lettori multimediali più popolari con le relative vulnerabilità, l'elenco non pretende di essere una lista esaustiva che comprenda al suo interno tutti i lettori multimediali e le vulnerabilità a questi associate. Per molte di queste vulnerabilità il codice per sfruttale in un attacco è disponibile pubblicamente e questo codice è continuamente utilizzato in modo selvaggio.

I lettori multimediali per le piattaforme più diffuse sono:

• Windows: Windows Media Player, RealPlayer, Apple Quicktime, Adobe Flash Player, Apple iTunes
• Mac OS: RealPlayer, Apple Quicktime, Apple iTunes, Adobe Flash Player
• Linux/Unix: RealPlayer, Adobe Flash Player

C4.2 Sistemi operativi interessati

• Microsoft Windows
• Linux/Unix
• Mac OS X

C4.3 Riferimenti CVE

RealPlayer
CVE-2007-2497, CVE-2007-3410, CVE-2007-5601

Apple iTunes
CVE-2007-3752

Adobe Flash Player
CVE-2007-3457, CVE-2007-5476

Apple Quicktime
CVE-2007-0462, CVE-2007-0588, CVE-2007-0466, CVE-2007-0711, CVE-2007-0712, CVE-2007-0714, CVE-2007-2175, CVE-2007-2295, CVE-2007-2296, CVE-2007-0754, CVE-2007-2388, CVE-2007-2389, CVE-2007-2392, CVE-2007-2393, CVE-2007-2394, CVE-2007-2396, CVE-2007-2397, CVE-2007-5045, CVE-2007-4673

Windows Media Player
CVE-2006-6134, CVE-2007-3035, CVE-2007-3037, CVE-2007-5095

C4.4 Come stabilire se si è vulnerabili

Può costituire un potenziale problema l'utilizzo di un lettore multimediale sul quale non sono stati installati patch o aggiornamenti della versione più recente. Un buon sistema di rilevamento del software utilizzato revisione e l'utilizzo di pratiche di gestione delle patch aiuta ad essere preparati a a fronteggiare le minacce e gli attacchi condotti tramite i lettori multimediali.

C4.5 Come proteggersi dalle vulnerabilità dei lettori multimediali

Di seguito presentiamo alcuni accorgimenti per proteggersi contro le vulnerabilità tipiche dei lettori multimediali:

• Assicurarsi che i lettori multimediali siano regolarmente aggiornati con le più recenti patch. Molti lettori offrono la possibilità di effettuare gli aggiornamenti tramite l'help o il menù degli strumenti.
• Esaminare con cura le installazioni di default dei sistemi operativi e di altri prodotti assicurandosi che non includano lettori multimediali indesiderati.
• Configurare i sistemi operativi e i browser al fine di prevenire installazioni inconsapevoli
• Utilizzare strumenti anti-malvare, come software anti-virus e IDS, sui client desktop in modo da prevenire problemi.
• Sui sistemi che rispondono a una gestione centralizzata, utilizzare il principio dei minimi privilegi e, dove possibile, limitare la possibilità di installazione di software aggiuntivo da parte dell'utente finale. Queste pratiche renderanno la gestione delle patch e delle vulnerabilità molto più semplice e più efficace.
• Quando possibile, implementando un inventario aggiornato del software installato, in modo da identificare i potenziali rischi presenti nell'ambiente operativo.
• Non installare lettori multimediali sui sistemi sui quali non devono essere eseguiti file multimediali (ad esempio sui server)

C4.6 Approfondimenti

La sezione sui lettori multimediali del sito RealNetworks
http://www.realnetworks.com/products/media_players.html
http://www.realnetworks.com/support/updates.html

Home Page di Apple QuickTime
http://www.apple.com/quicktime/
http://www.apple.com/support/quicktime/

Home page di Apple iTunes
http://www.apple.com/itunes/
http://www.apple.com/support/itunes/

Windows Media Player
http://www.microsoft.com/windows/windowsmedia/default.aspx
http://www.microsoft.com/windows/windowsmedia/player/11/security.aspx
http://www.microsoft.com/windows/windowsmedia/player/10/security.aspx
http://www.microsoft.com/technet/security/current.aspx

Homepage di Adobe Flash Playe
http://www.adobe.com/products/flashplayer/security/
http://www.adobe.com/downloads/updates/

Security Report e altri link
https://www2.sans.org/newsletters/risk/
http://findarticles.com/p/articles/mi_m0EIN/is_2006_Dec_18/ai_n16912185

Misure di rete generali per mitigare l'impatto delle vulnerabilità lato client:

• Agli utenti dovrebbe essere impedita la navigazione verso qualsiasi URL potenzialmente pericoloso utilizzando tecniche di URL blocking
  • Il Pentagono, ad esempio, ha bloccato l'accesso a siti di social networking come MySpace e YouTube.
    • Riferimento:
      http://thelede.blogs.nytimes.com/2007/05/14/pentagon-blocks-myspace-and-youtube/
  • Implementate una soluzione di URL filtering, commerciale o open-source, per evitare che gli utenti visitino siti che diffondono exploit e malware.
    • Riferimenti:
      http://www.squidguard.org/,
      http://code.google.com/apis/safebrowsing/
• Il download da Internet di qualsiasi file multimediale da parte degli utenti dovrebbe essere bloccato.
• Agli utenti dovrebbe essere impedito l'accesso SMTP, POP o IMAP alla propria caselle di posta personale. Questa pratica permette di prevenire l'ingresso nella rete aziendale via mail di contenuti potenzialmente non filtrati o non analizzati da sistemi antivirus controllati dall'organizzazione.
• Sarebbe auspicabile l'adozione di soluzioni anti-virus, anti-spyware ad altre applicazioni di scansione del malware presente nelle email a livello di gateway.
• Su un server operativo non devono essere usati browser, client email, lettori multimediali o software office. Quando possibile, bloccate per i server il traffico verso l'esterno attraverso la porta 80/tcp.