Alert GCSA-09005 - Vulnerabilita' nella funzionalita' Autorun di
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
**********************************************************************
Alert ID : GCSA-09005
Data : 22 gennaio 2009
Titolo : Vulnerabilita' nella funzionalita' Autorun di Microsoft
Windows
**********************************************************************
:: Descrizione del problema
E' stato pubblicato dal National Cyber Alert System di US-CERT un
avviso relativo alla disattivazione della funzionalita' "Autorun"
per prevenire l'esecuzione di codice malevole su sistemi Microsoft
Windows.
La funzionalita' di "Autorun" puo' inaspettatamente portare
all'esecuzione di codice arbitrario nei seguenti casi:
- connessione di dispositivi rimovibili o di rete
- click sull'icona di un dispositivo rimovibile
- selezione di un'opzione appositamente predisposta nella finestra
di dialogo al momento in cui un nuovo dispositivo viene connesso
al sistema (worm Downadup/Conflicker -
http://isc.sans.org/diary.html?storyid=5695)
La disattivazione della funzionalita' nei diversi sistemi Microsoft
Windows produce situazioni non conformi ed in certi casi non si
ottiene il comportamento desiderato (consultare l'articolo di
Microsoft :: How to correct "disable Autorun registry key"
enforcement in Windows - http://support.microsoft.com/kb/953252/en
e l'articolo VU#889747 -http://www.kb.cert.org/vuls/id/889747)
:: Software interessato
Microsoft Windows
:: Impatto
Esecuzione automatica di codice arbitrario durante la connessione di
un dispositivo rimovibile sfruttando file Autorun.inf appositamente
predisposti
:: Soluzioni
Applicare l'aggiornameto di Microsoft KB953252.
Per i sistemi Windows Vista e Windows Server 2008 tale aggiornamento
e' parte del Bolletino di Sicurezza MS08-038
Ulteriore workaround:
Importare la chiave di registro:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
:: Riferimenti
US-CERT - Technical Cyber Security Alert TA09-020A
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
US-CERT VU#889747
Microsoft Windows fails to properly handle the NoDriveTypeAutoRun
registry value
http://www.kb.cert.org/vuls/id/889747
The Dangers of Windows AutoRun
http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
Microsoft Security Bulletin MS08-038
http://www.microsoft.com/technet/security/Bulletin/MS08-038.mspx
Avviso relativo al virus worm Win32/Conficker.B
http://support.microsoft.com/kb/962007
W32.Downadup
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99
MS08-067 Worm, Downadup/Conflicker
http://www.f-secure.com/weblog/archives/00001576.html
SecurityFocus BID
http://www.securityfocus.com/brief/887
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSXinzPOB+SpikaiRAQKtFQP/UZgPmesIz6bvrgS9qM1j6Ll0ZxSBLt/p
kuBxGh4CYR4Zqdn4AyeumE1PIBDMszS5z/XEA+RCo3TpgQLbvw0HU+bc8zO2Ki6M
eZtSV6vctoEyzeU57jcazr0nW5+xazZKvNHOJVdoNg+l/DF/kcUr/wPE078cceF6
+RQzY/N4bo4=
=O7vQ
-----END PGP SIGNATURE-----
Hash: SHA1
**********************************************************************
Alert ID : GCSA-09005
Data : 22 gennaio 2009
Titolo : Vulnerabilita' nella funzionalita' Autorun di Microsoft
Windows
**********************************************************************
:: Descrizione del problema
E' stato pubblicato dal National Cyber Alert System di US-CERT un
avviso relativo alla disattivazione della funzionalita' "Autorun"
per prevenire l'esecuzione di codice malevole su sistemi Microsoft
Windows.
La funzionalita' di "Autorun" puo' inaspettatamente portare
all'esecuzione di codice arbitrario nei seguenti casi:
- connessione di dispositivi rimovibili o di rete
- click sull'icona di un dispositivo rimovibile
- selezione di un'opzione appositamente predisposta nella finestra
di dialogo al momento in cui un nuovo dispositivo viene connesso
al sistema (worm Downadup/Conflicker -
http://isc.sans.org/diary.html?storyid=5695)
La disattivazione della funzionalita' nei diversi sistemi Microsoft
Windows produce situazioni non conformi ed in certi casi non si
ottiene il comportamento desiderato (consultare l'articolo di
Microsoft :: How to correct "disable Autorun registry key"
enforcement in Windows - http://support.microsoft.com/kb/953252/en
e l'articolo VU#889747 -http://www.kb.cert.org/vuls/id/889747)
:: Software interessato
Microsoft Windows
:: Impatto
Esecuzione automatica di codice arbitrario durante la connessione di
un dispositivo rimovibile sfruttando file Autorun.inf appositamente
predisposti
:: Soluzioni
Applicare l'aggiornameto di Microsoft KB953252.
Per i sistemi Windows Vista e Windows Server 2008 tale aggiornamento
e' parte del Bolletino di Sicurezza MS08-038
Ulteriore workaround:
Importare la chiave di registro:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
:: Riferimenti
US-CERT - Technical Cyber Security Alert TA09-020A
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
US-CERT VU#889747
Microsoft Windows fails to properly handle the NoDriveTypeAutoRun
registry value
http://www.kb.cert.org/vuls/id/889747
The Dangers of Windows AutoRun
http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
Microsoft Security Bulletin MS08-038
http://www.microsoft.com/technet/security/Bulletin/MS08-038.mspx
Avviso relativo al virus worm Win32/Conficker.B
http://support.microsoft.com/kb/962007
W32.Downadup
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99
MS08-067 Worm, Downadup/Conflicker
http://www.f-secure.com/weblog/archives/00001576.html
SecurityFocus BID
http://www.securityfocus.com/brief/887
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSXinzPOB+SpikaiRAQKtFQP/UZgPmesIz6bvrgS9qM1j6Ll0ZxSBLt/p
kuBxGh4CYR4Zqdn4AyeumE1PIBDMszS5z/XEA+RCo3TpgQLbvw0HU+bc8zO2Ki6M
eZtSV6vctoEyzeU57jcazr0nW5+xazZKvNHOJVdoNg+l/DF/kcUr/wPE078cceF6
+RQzY/N4bo4=
=O7vQ
-----END PGP SIGNATURE-----