Nel corso del suo “patch day” mensile, Microsoft ha pubblicato aggiornamenti correttivi che complessivamente vanno a correggere ben 88 vulnerabilità, alcune delle quali ad elevata criticità in Windows e negli altri software dell’azienda di Redmond.
Mentre il mese scorso l’aggiornamento indubbiamente più importante era quello legato alla risoluzione di una grave vulnerabilità individuata in Desktop remoto (Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry), questa volta non sono stati risolti bug dello stesso tenore ma alcuni di essi – soprattutto se dovessero essere pubblicati i corrispondenti codici exploit – potrebbero rivelarsi particolarmente delicati.
L’elenco delle problematiche di sicurezza corrette da Microsoft in occasione del “patch day” di giugno 2019 è disponibile in questa pagina mentre nell’articolo Windows Update: come gestire gli aggiornamenti abbiamo illustrato quello che secondo noi è l’approccio migliore per confrontarsi con i rilasci mensili di Microsoft.
Lato sistemi client molte vulnerabilità riguardano i motori usati dai browser Microsoft e quelli di scripting mentre sia sui sistemi degli utenti finali che sulle macchine server alcune patch correggono bug di sicurezza che potrebbero essere sfruttati per eseguire codice arbitrario utilizzando i privilegi utente più elevati in assoluto (pur disponendo di diritti ridotti).
Un aggressore deve in questo caso disporre necessariamente dell’accesso fisico alla macchina e può sfruttare vulnerabilità, adesso corrette, presenti nell’Utilità di pianificazione di Windows, nella suite di protocolli di sicurezza Microsoft NTLM (NT LAN Manager), in ALPC (Advanced Local Procedure Call) – uno dei componenti di base del sistema operativo per lo scambio di messaggi tra le applicazioni -, nel servizio Windows Audio, in Windows AppX Deployment Service (AppXSVC), deputato all’avvio delle applicazioni del Microsoft Store, nelle routine di installazione Windows Installer e nella shell di Windows che, in alcuni casi, può gestire in maniera erronea i collegamenti alle cartelle.
Fortunatamente, per nessuna delle vulnerabilità è stato ancora pubblicato il codice exploit ma per alcune di esse sono stati comunque diffusi – da parte di soggetti terzi – i dettagli tecnici. Ciò significa che i criminali informatici si metteranno presto al lavoro per sviluppare codice malevolo in grado di fare leva su ciascun bug.
Due lacune di sicurezza scoperte in NTLM, in particolare, possono consentire a un aggressore di impossessarsi delle credenziali di autenticazione di un altro utente ed effettuare il login sulla macchina impersonificando tale soggetto. Per effettuare il login sulla macchina, l’aggressore dovrebbe inviare al sistema vulnerabile una richiesta di autenticazione opportunamente strutturata.
Lato server e in ambiente business particolarmente importanti sono le patch che risolvono molteplici bug in Hyper-V – potrebbero essere sfruttate dagli aggressori per eseguire codice arbitrario sulla macchina host – oltre a quelle per correggere problemi di sandbox escaping.
Infine, Microsoft fa riferimento all’eventualità di futuri attacchi DoS (Denial of Service) sulle pagine erogate mediante server web IIS nel caso in cui fossero attivate e utilizzate le funzionalità di request filtering, definite a livello di file Web.config
.
Suggeriamo di attendere una decina di giorni prima di applicare gli aggiornamenti in modo da dare il tempo a Microsoft di correggere eventuali anomalie segnalate dagli utenti.