November 23, 2024

PAPERS

A volte la vita ti colpirà alla testa con un mattone

Microsoft risolve sette bug critici in un leggero Patch Tuesday

Microsoft ha risolto un totale di 44 vulnerabilità ed esposizioni comuni (CVE), sette delle quali sono state classificate come critiche e solo una è stata attivamente sfruttata in natura come zero-day, in una versione più leggera del normale Patch Tuesday.

Questa è la seconda volta nel 2021 che Microsoft ha patchato meno di 50 CVE, il l’ultima volta è giugno.

Segna anche un calo significativo da Patch martedì di luglio, che ha corretto 117 vulnerabilità, 13 delle quali critiche e quattro delle quali erano state attivamente sfruttate al momento.

Lo zero-day con patch sfruttato è CVE-2021-36948, una vulnerabilità relativa all’acquisizione di privilegi più elevati nel servizio Windows Update Medic che è stata segnalata internamente dai team di ricerca sulla sicurezza di Microsoft.

Secondo Eric Feldman, senior product marketing manager di Automox, le vulnerabilità di questo mese ruotano attorno ai componenti di Windows che eseguono comunicazioni di rete, connessioni Internet, stampa, riparazione di file o connessioni remote.

“Alcuni di questi componenti hanno avuto una serie di vulnerabilità segnalate finora quest’anno. Mentre l’estate inizia a volgere al termine, il ritorno agli uffici fisici sembra essere meno probabile per molti segmenti della forza lavoro”, ha affermato. “La tendenza è che il lavoro a distanza è destinato a durare, rendendo la priorità dell’applicazione di patch a questi componenti ancora più vitale”.

Abbattendo la vulnerabilità sfruttata, che è stata contrassegnata come importante, il direttore del marketing dei prodotti di Automox, Jay Goodman, ha affermato che Update Medic è un nuovo servizio che consente agli utenti di riparare i componenti di Windows Update da uno stato danneggiato in modo che il dispositivo possa continuare a ricevere aggiornamenti.

“L’exploit è di bassa complessità e può essere sfruttato senza l’interazione dell’utente, rendendo questa vulnerabilità facile da includere nella cassetta degli attrezzi degli avversari”, ha affermato, aggiungendo che a causa del suo sfruttamento in natura, le organizzazioni dovrebbero dare la priorità a una patch.

“Ad aggravare la situazione, le vulnerabilità legate all’esecuzione di codice in remoto sono particolarmente problematiche poiché consentono agli aggressori di eseguire codice dannoso sui sistemi sfruttati. In combinazione con altre vulnerabilità che consentono l’escalation dei privilegi, gli aggressori possono assumere rapidamente e facilmente il pieno controllo del sistema di destinazione e utilizzarlo per esfiltrare i dati o spostarsi lateralmente all’interno dell’infrastruttura dell’organizzazione.

Nessuna delle vulnerabilità critiche è stata ancora sfruttata, ma tutte ruotano attorno all’esecuzione di codice remoto (RCE). Questi includono CVE-2021-26432, -26424 -34480, -34530, -34534, -34535 e -36936.

L’architetto senior della sicurezza di Recorded Future, Allan Liska, ha affermato che di questi, CVE-2021-26424 è quello a cui le organizzazioni dovrebbero prestare la massima attenzione.

“Si tratta di una vulnerabilità legata all’esecuzione di codice remoto TCP/IP di Windows etichettata come critica da Microsoft. Questa vulnerabilità ha un impatto da Windows 7 a 10 e da Windows Server 2008 a 2019″, ha affermato.

“Anche se questa vulnerabilità non è elencata come divulgata pubblicamente o sfruttata in natura, Microsoft l’ha etichettata come ‘sfruttamento più probabile’, il che significa che lo sfruttamento è relativamente banale. Le vulnerabilità nello stack TCP/IP possono essere complicate: alcune sono facili da sfruttare mentre altre sono quasi impossibili, a seconda di dove si trovano nello stack”.

In termini di vulnerabilità dello spooler di stampa, Chris Goettl, senior director of product mangement presso Ivanti, ha notato che due di esse (CVE-2021-34481 e -36936) sono state contrassegnate come divulgate pubblicamente.

“CVE-2021-34481 è in realtà una riedizione del Patch Tuesday di luglio. Dopo un’indagine più completa, Microsoft ha effettuato un aggiornamento aggiuntivo per affrontare la vulnerabilità in modo più completo. Normalmente una divulgazione pubblica è sufficiente per esporre una vulnerabilità a un rischio maggiore di essere sfruttata poiché i dettagli della vulnerabilità erano stati resi disponibili prima del rilascio dell’aggiornamento”, ha affermato.

“In questo caso, proprio sulla scia di molteplici vulnerabilità note dello spooler di stampa sfruttate, tra cui StampaIncubo (CVE-2021-34527), il rischio che queste vulnerabilità divulgate pubblicamente vengano sfruttate è aumentato.

“Mentre un attore di minacce indaga sul codice alla ricerca di vulnerabilità, cercherà potenzialmente più modi per sfruttare un’area di codice debole. I ricercatori di White Hat sono stati in grado di scoprire e segnalare questi exploit aggiuntivi, quindi dovremmo aspettarci che gli attori delle minacce siano in grado di identificare anche queste vulnerabilità aggiuntive”.

Satnam Narang, ingegnere di ricerca del personale di Tenable, ha aggiunto che Microsoft ha risolto un totale di tre vulnerabilità nello spooler di stampa di Windows, due delle quali (CVE-2021-36947 e -36936) sono state valutate come più probabili. Quest’ultima vulnerabilità è stata identificata come critica.

“A causa della natura onnipresente dello spooler di stampa di Windows all’interno delle reti, le organizzazioni dovrebbero dare la priorità alla correzione di questi difetti il ​​prima possibile”, ha affermato.