Particolarmente pesante il patch day Microsoft di novembre 2020. I tecnici dell’azienda di Redmond hanno infatti rilasciato aggiornamenti di sicurezza utili a risolvere 112 vulnerabilità scoperte in Windows e negli altri prodotti Microsoft. Di esse 17 sono lacune di sicurezza classificate come critiche e 93 come importanti.
La problematica di sicurezza che si preannuncia più seria è quella contraddistinta con l’identificativo CVE-2020-17051 (Windows Network File System).
Riguarda la totalità delle versioni di Windows supportate da Microsoft (compreso Windows 7, anche se gli aggiornamenti verranno rilasciati solo agli utenti che hanno sottoscritto il programma a pagamento ESU: Windows 7, supporto esteso fino a tre anni con ESU).
La falla CVE-2020-17051 è particolarmente critica (9,8 punti su un massimo di 10) perché può essere sfruttata attraverso la rete per eseguire codice nocivo sul sistema della vittima senza conoscere alcuna credenziale e senza la necessità di alcun tipo di interazione da parte dell’utente.
Fortunatamente al momento la falla non è né nota ai criminali informatici né sono stati pubblicati codici exploit in grado di sfruttarla.
Situazione diametralmente opposta per l’aggiornamento CVE-2020-17087: in questo caso il problema di sicurezza è già sfruttato per aggredire i sistemi altrui e in rete è stato pubblicato il codice nocivo per approfittare della lacuna di sicurezza.
La patch CVE-2020-17087 risolve il problema che era stato segnalato a Microsoft nei giorni scorsi dal team di Google Project Zero: Falle zero-day in Windows e nei browser derivati da Chromium utilizzate per eseguire codice arbitrario.
Con l’applicazione dell’aggiornamento viene risolto un bug nel Windows Kernel Cryptography Driver (cng.sys) che può essere sfruttato solo in ambito locale per acquisire privilegi utente più elevati e sfuggire alle difese della sandbox senza la necessità di alcuna interazione da parte della vittima.
C’è poi di nuovo un problema di sicurezza che interessa lo spooler della stampante (CVE-2020-17042): se sfruttato può facilitare l’esecuzione di codice arbitrario da parte di un aggressore.
Da non sottovalutare anche l’aggiornamento CVE-2020-17052 che può consentire a un aggressore remoto di eseguire codice nocivo sui sistemi altrui semplicemente esortando la vittima a visitare una pagina web malevola con alcune versioni di Edge e del vecchio Internet Explorer.
Completano il quadro la scoperta di alcune vulnerabilità, adesso corrette, nella gestione dei contenuti video AV1, HEVC oltre che nelle immagini in formato HEIF e RAW, in Microsoft SharePoint e nel kernel di Windows.
Maggiori informazioni sulle patch Microsoft di novembre 2020 nella consueta analisi pubblicata da ISC-SANS.