Nel Patch Tuesday di maggio Microsoft ha chiuso oltre 60 falle, fra cui la temibile Follina che era già sfruttata attivamente per i cyber attacchi.
La temuta vulnerabilità Follina potrebbe essere un lontano ricordo: Microsoft l’ha risolta con il Patch Tuesday di giugno, insieme ad altre 60 falle di sicurezza - 5 delle quali ereditate e riemesse da aprile e maggio. L’allarme su questo bug RCE zero-day aveva messo in allarme le agenzie governative statunitensi ed europee perché al momento della divulgazione era già sfruttata attivamente da un gruppo APT cinese tramite documenti Word malevoli. A titolo riepilogativo, si tratta di una falla relativa allo strumento di diagnostica Microsoft Windows Support Diagnostic Tool (MSDT), che consente l'esecuzione di codice in modalità remota. Chi installerà gli aggiornamenti del Patch Tuesday dovrebbe essere al riparo da qualsiasi problema
Follina, tuttavia, non è l’unica protagonista di questa tornata di aggiornamenti. Nell’elenco delle patch figurano altre tre falle RCE critiche, fortunatamente non ancora sfruttate attivamente. La più grave delle tre è monitorata con la sigla CVE-2022-30136 e ha un punteggio CVSS di 9.8 su 10. Interessa Windows Server 2012, Server 2016 e Server 2019 e influisce sul Windows Network File System (NFS).
Il suo sfruttamento può avvenire qualora un attaccante già infiltrato nella rete aziendale dovesse effettuare una chiamata non autenticata e appositamente predisposta a un servizio NFS. L’elevato punteggio CVSS è dovuto al vettore di attacco di rete e alla bassa complessità di attuazione. In caso non fosse possibile applicare celermente le patch, Microsoft consiglia di disabilitare NFSV4.1. Si tratta di una misura di mitigazione solo temporanea perché – avverte l’azienda di Redmond - potrebbe influire negativamente sull’ecosistema.
La seconda falla critica è quella contraddistinta dalla sigla CVE-2022-30163, con un punteggio CVSS di 8.5. e riguarda l'hypervisor Hyper-V di Windows. La criticità più bassa della precedente è dovuta al fatto che sarebbe necessario un attacco abbastanza complesso da orchestrare. In caso di riuscita, tuttavia, l’attaccante potrebbe passare da utente guest di una macchina virtuale a uno host, causando danni rilevanti.
Ultima vulnerabilità degna di nota è la CVE-2022-30139 relativa al codice LDAP (Lightweight Directory Access Protocol) di Windows. Per impostazione predefinita i sistemi non dovrebbero essere sfruttabili. È inoltre degna di nota la vulnerabilità di escalation dei privilegi di Windows Installer monitorata con la sigla CVE-2022-30147, a cui è assegnato un punteggio CVSS di 7.8. Il motivo di una valutazione relativamente bassa è che, secondo gli esperti, questo tipo di vulnerabilità è quasi sempre rilevato durante un attacco informatico. Tuttavia il patching è fortemente caldeggiato perché rientra fra i bug che verranno probabilmente più sfruttati.
Todd Schell, Principal Product Manager di Ivanti, ha approfittato della chiusura del primo semestre di patch per tirare un bilancio della situazione. A questo giro di boa, il 2022 figura come un anno altamente soggetto a oscillazioni del numero di vulnerabilità che Microsoft ha corretto. “Abbiamo iniziato con 85 CVE relative a Windows 10 a gennaio, siamo scesi a un minimo di 21 CVE a febbraio e siamo tornati a 97 CVE a maggio. Questo mese, abbiamo visto 33 vulnerabilità risolte in Windows 10 e nei server associati”.