Windows, problemi di patch

La scorsa settimana, in occasione del tradizionale Patch Tuesday, Microsoft ha risolto una grave vulnerabilità individuata nel Secure Channel presente in tutte le versioni di Windows. L’azienda di Redmond ha rilasciato un aggiornamento di sicurezza che, oltre alle nuove versioni dei file e delle librerie, ha introdotto quattro “cipher suite” per il protocollo TLS. Proprio quest’ultima novità ha causato alcuni problemi, per i quali la stessa Microsoft ha pubblicato un possibile workaround.

Il Secure Channel è un SSP (Security Support Provider) che implementa i protocolli di autenticazione Secure Sockets Layer (SSL) e Transport Layer Security (TLS) nei sistemi operativi Windows. SChannel fornisce quindi un servizio per la connessione HTTP sicura tra client e server. In breve, si tratta dell’equivalente “closed source” di Open SSL. La vulnerabilità critica potrebbe essere sfruttata per eseguire codice remoto se un malintenzionato invia speciali pacchetti ad un server Windows.

In seguito alle segnalazioni degli utenti, Microsoft ha pubblicato una modifica al bollettino di sicurezza per comunicare un problema legato alle quattro cipher suite (un insieme di algoritmi crittografici) usate per creare le chiavi RSA. In alcune configurazioni con TLS 1.2 abilitato, non avviene la negoziazione, provocando la caduta della connessione e il blocco dei processi/servizi. La soluzione consiste nell’eliminare le quattro suite dal registro di sistema.

Molti esperti di sicurezza hanno comunque riportato che la patch risolve almeno tre vulnerabilità, nonostante Microsoft ne abbia indicato solo una. Il bollettino MS14-066 non è molto chiaro, in quanto mancano i dettagli del bug. A differenza di Bash e OpenSSL, non è disponibile il codice sorgente della patch, per cui nessuno può verificare se risolve effettivamente il problema.