- L'evento Patch Tuesday di questo mese porta gli utenti di tutto il mondo a un totale di 67 correzioni.
- Quasi la metà delle patch rilasciate affrontare i problemi relativi ai privilegi degli utenti su un computer.
- EAnche l'esecuzione di codice arbitrario sul computer di una vittima è un problema risolto.
- Anche il componente MSHTML di Microsoft Office viene sfruttato attivamente.
La serie regolare di aggiornamenti dell'azienda di Redmond assume la massima importanza questo mese in quanto l'azienda rilascia una correzione per un bug di gravità critica.
A questo si fa attualmente riferimento con il riferimento di designazione della vulnerabilità, CVE-2021-40444.
Sappiamo anche che è attualmente sfruttato, nei documenti di Office, oltre a patch significative per prodotti Microsoft e servizi cloud.
Microsoft risolve le violazioni della sicurezza tramite Patch Tuesday
Durante l'evento Patch Tuesday di questo mese, Microsoft ha rilasciato un totale di 67 correzioni per molti dei suoi prodotti.
Il maggior numero di correzioni, pari a 27, è stato quello di riparare i problemi che un utente malintenzionato potrebbe utilizzare per aumentare il proprio livello di privilegio su un computer.
Se ti stavi chiedendo quale sia il secondo numero più grande, che in questo caso è 14, indica la capacità di un utente malintenzionato di eseguire codice arbitrario sul computer di una vittima.
È importante sapere che tutte le vulnerabilità critiche tranne una rientrano nella categoria Remote Code Execution.
Ciò include il bug -40444, che è stato soprannominato il Vulnerabilità legata all'esecuzione di codice remoto Microsoft MSHTML.
La vulnerabilità critica non RCE è un bug di divulgazione delle informazioni che interessa Sfera Azzurra (CVE-2021-36956), una piattaforma creata da Microsoft, che ha lo scopo di aggiungere un livello di sicurezza ai dispositivi Internet-of-Things (IoT).
Anche alcuni dei fastidiosi bug che interessano il browser Edge su entrambe le piattaforme Android e iOS sono stati risolti dal gigante della tecnologia.
Gli utenti di quel browser su quei dispositivi dovranno, necessariamente, ottenere le loro versioni fisse dal app store pertinente per il loro dispositivo, entrambi soggetti a una vulnerabilità che Microsoft descrive come spoofing.
Le vulnerabilità critiche che interessano Windows stesso (CVE-2021-36965 e CVE-2021-26435) si applicano a un componente chiamato WLAN AutoConfig Service.
Se non lo sapevi, questo fa parte del meccanismo utilizzato da Windows 10 per scegliere la rete wireless a cui si connetterà un computer e, rispettivamente, al motore di script di Windows.
Microsoft non ha fornito ulteriori informazioni prima della scadenza del rilascio del Patch Tuesday sul meccanismo con cui questi bug eseguono il codice su un sistema.
Gli sviluppatori di Redmond affrontano un enorme bug di Office questo mese
Dopo che questo bug è stato scoperto ed è diventato di dominio pubblico il 7 settembre, i ricercatori e gli analisti della sicurezza hanno iniziato a scambiare esempi di prova di come un utente malintenzionato potrebbe sfruttare l'exploit.
Sfortunatamente, l'alto profilo di questo bug significa che gli aggressori se ne saranno accorti e probabilmente inizieranno a sfruttare la vulnerabilità.
Questo brutto bug coinvolge il componente MSHTML di Microsoft Office, che può eseguire il rendering delle pagine del browser nel contesto di un documento di Office.
Nello sfruttamento del bug, un utente malintenzionato crea un controllo ActiveX maligno e quindi incorpora il codice in un documento di Office che chiama il controllo ActiveX quando il documento viene aperto o in anteprima.
Le fasi dell'attacco sono, in termini generali:
- Target riceve un documento Office .docx o .rtf e lo apre
- Il documento scarica HTML remoto da un indirizzo Web dannoso
- Il sito Web dannoso fornisce un archivio .CAB al computer del bersaglio
- L'exploit lancia un eseguibile dall'interno del .CAB (di solito chiamato con estensione .INF)
Lo script dannoso utilizza il gestore integrato per .cpl file (Pannello di controllo di Windows) per eseguire il file con estensione .inf (che in realtà è un .dll dannoso) estratto dal file .cab.
Molte persone non solo hanno creato exploit di proof-of-concept (PoC) funzionali, ma alcuni hanno creato e pubblicato strumenti di creazione che chiunque può utilizzare per armare un documento di Office.
La versione originale dell'exploit utilizzava Microsoft Word.docx documenti, ma abbiamo già individuato alcune versioni che utilizzano .rtf estensioni di file.
Gli aggressori utilizzano le tecniche non solo per avviare file .exe ma anche file .dll dannosi, utilizzando rundll32. Non c'è motivo di credere che l'exploit non amplierà la loro gamma anche ad altri tipi di documenti di Office.
È bello sapere che i funzionari di Redmond stanno facendo del loro meglio per tenerci al sicuro, ma si tratta di uno sforzo comune, quindi anche noi dobbiamo fare la nostra parte.
Cosa ne pensi degli aggiornamenti del Patch Tuesday di questo mese? Condividi la tua opinione con noi nella sezione commenti qui sotto.