Nel primo patch Tuesday del 2021 Microsoft ha pubblicato aggiornamenti di sicurezza che correggono 83 vulnerabilità relative a 11 prodotti e servizi. Spicca la patch per una falla zero-day già attivamente sfruttata. È identificata dalla sigla CVE-2021-1647 e consiste in un difetto di esecuzione del codice remoto (RCE) in Microsoft Defender. Potrebbe consentire agli aggressori di infettare con codice arbitrario i sistemi mirati.

In altre parole, a mettere a rischio i sistemi Windows è proprio l'antivirus Defender. La falla riguarda Microsoft Malware Protection Engine (mpengine.dll), ossia il componente di Windows Defender che è sempre attivo in background. Il suo compito è quello di rilevare in tempo reale eventuali malware che tentano di infettare il PC. Oltre alla scansione e al rilevamento, dovrebbe occuparsi anche di eliminare le minacce. 

Tuttavia, le versioni incluse fra la 1.1.17600.5 e la 1.1.17700.4 sono afflitte dalla vulnerabilità in oggetto, che per ammissione della stessa Microsoft è già stata sfruttata. Il come e la reale incidenza dello sfruttamento non sono date a sapere. Quello che è certo è che il problema riguarda Windows 10, Windows 7 e Windows Server 2004, e che per sfruttarlo non serve alcuna interazione da parte dell'utente.

Le buone notizie comunque non mancano: secondo Microsoft l'exploit in circolazione sarebbe un proof-of-concept, quindi occorrono ancora delle modifiche sostanziali per farlo funzionare in modo efficace. Inoltre, per chiudere la falla basta installare gli aggiornamenti pubblicati ieri, che già oggi sono in download automatico su milioni di PC.

Il problema semmai si pone su tutti quei sistemi per i quali non è impostata l'implementazione automatica delle patch. In questi casi è doveroso dare corso manualmente agli aggiornamenti, il prima possibile.

Altre patch

Anche se correggono problemi di minore gravità, anche le altre patch meritano una menzione. Le correzioni riguardano Microsoft Windows, il browser Edge, ChakraCore, Office, Microsoft Office Services e Web Apps, Visual Studio, Microsoft Malware Protection Engine, .NET Core, ASP .NET e Azure. 

I bug critici che risolvono sono complessivamente 10 sono, quelli di gravità importante sono 73. Il problema di Edge è quello identificato dalla sigla CVE-2021-1705, che consiste in un difetto di danneggiamento della memoria del browser. Importante poi la correzione per la falla CVE-2021-1648 che rimedia a un problema di escalation dei privilegi introdotto da una patch precedente nell'API GDI Print / Print Spooler. Era stato segnalato da Google Project Zero ma Microsoft non aveva fatto in tempo a inserire la correzione nella precedente tornata di upgrade.