Quello di luglio è stato un
Patch Tuesday XL, con le
correzioni per 117 vulnerabilità di sicurezza. Tra queste
nove sono falle zero-day, di cui quattro sono sotto attacco attivo e consentono a un attaccante di assumere il controllo dei sistemi interessati. Delle 117 falle,
13 sono classificate come critiche, 103 come importanti e una moderata.
Gli aggiornamenti riguardano diversi prodotti Microsoft, tra cui Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS e Visual Studio Code. Vediamo le principali correzioni in ordine di priorità di installazione, partendo dalle
falle che sono già attivamente sfruttate.
CVE-2021-34527 ha un punteggio CVSS di 8.8 ed è meglio conosciuta come
PrintNightmare. È già stata oggetto di molte notizie e alcune correzioni sono state
divulgate in emergenza una settimana in anticipo vista la criticità che comportava. Bharat Jogi, senior manager di Qualys, evidenzia come "
nonostante gli aggiornamenti, gli utenti devono comunque assicurarsi di avere predisposto correttamente le configurazioni consigliate. I sistemi con configurazioni errate continueranno a essere a rischio di sfruttamento, anche dopo l'applicazione dell'ultima patch".
CVE-2021-31979 e CVE-2021-33771 sono due differenti falle associate a un punteggio CVSS di 7.8 e riferite a vulnerabilità legate all'
escalation dei privilegi nel kernel di Windows. Infine, CVE-2021-34448 ha un punteggio CVSS di 6.8 e fa riferimento a una vulnerabilità da corruzione della memoria nel motore di scripting. In relazione a questo bug, Microsoft ha anche sottolineato che
sarebbe molto complicato sfruttarlo per scatenare un attacco. L'attaccante dovrebbe infatti ingannare un utente convincendolo a fare clic su un link che porta a un sito Web dannoso, che contiene un file progettato per innescare la vulnerabilità.
Vulnerabilità zero-day
Passiamo alle vulnerabilità zero-day, che sono ora
divulgate pubblicamente, ma non sfruttate. La più grave è la CVE-2021-34473 (punteggio CVSS: 9.1) che potrebbe consentire un
RCE in Microsoft Exchange Server. La stessa applicazione è minacciata dalla CVE-2021-34523 (punteggio CVSS: 9.0) legata all'escalation dei privilegi.
La falla CVE-2021-33781 con punteggio CVSS di 8.1 è invece una
vulnerabilità di bypass delle funzionalità di protezione di Active Directory. Con lo stesso punteggio, CVE-2021-33779 è una falla di bypass delle funzionalità di sicurezza di Windows ADFS. Chiude la carrellata la CVE-2021-34492, a cui è assegnato un punteggio CVSS di 8.1, che si riferisce a una vulnerabilità dello spoofing dei certificati di Windows.
Falle da non sottovalutare
Gli esperti di sicurezza sottolineano spesso che il punteggio di criticità non è l'unico elemento di cui tenere conto per valutare la gravità di una falla. Le correzioni che seguono hanno punteggi CVSS più bassi delle precedenti, ma possono aprire le porte ad attacchi molto gravi.
Né è un chiaro esempio la falla
CVE-2021-34466 a cui è assegnato un punteggio CVSS di 5.7. È una vulnerabilità di bypass di sicurezza nella soluzione di autenticazione di Windows Hello: un attaccante potrebbe
falsificare il volto di una vittima e aggirare la schermata di accesso.
Ci sono poi due vulnerabilità RCE che interessano Windows DNS Server e il kernel di Windows. Sono mappate rispettivamente come CVE-2021-34494 (punteggio CVSS 8.8) e CVE-2021-34458 (punteggio CVSS 9.9). Riguardo a quest'ultima, Microsoft sottolinea che " consente a un singolo dispositivo sr-IOV (Root Input/Output Virtualization) assegnato a un ospite di interferire potenzialmente con le controparti PCIe (Peripheral Component Interface Express) collegate ad altri ospiti o alla root". Sono vulnerabili le istanze di Windows che ospitano macchine virtuali.