Piuttosto pesante il patch day Microsoft di questo mese che vede la distribuzione di 19 aggiornamenti critici utili, insieme con quelli descritti come a priorità inferiore, per la risoluzione di ben 114 vulnerabilità.
Estremamente importanti per le realtà aziendali che usano Microsoft Exchange sono gli aggiornamenti CVE-2021-28480/28481.
L’applicazione delle patch permette di risolvere alcune falle di sicurezza che possono essere sfruttate attraverso la rete, anche in modalità remota e sono wormable, sfruttabili cioè dai criminali informatici per sviluppare malware capaci di diffondersi “autonomamente” tra i server vulnerabili andando alla ricerca di nuovi bersagli da attaccare.
Le imprese che si appoggiano a server Exchange dovrebbero immediatamente procedere con l’applicazione degli aggiornamenti appena rilasciati.
Chiedere a qualunque azienda, grande o piccola che sia, di disattivare temporaneamente il server di posta in un giorno lavorativo è uno sforzo davvero importante ma giustificato vista l’importanza degli aggiornamenti e il fatto che le vulnerabilità risolte possono essere sfruttate dai criminali informatici.
Tante sono poi le lacune di sicurezza scoperte nel componente Remote Procedure Call (RPC) di Windows: come conferma Microsoft (CVE-2021-28329 e molti altri) il problema può essere sfruttato da remoto per eseguire codice arbitrario sulle macchine vulnerabili.
I bug complessivamente risolti a livello di RPC sono 27, 12 classificati come “critici” e 15 come “importanti”. I primi si riferiscono ad attacchi svolti potendo approfittare dei privilegi utente più ampi.
Le molteplici falle scoperte nel componente RPC di Windows fanno correre il pensiero agli anni 2003-2004 quando worm come Blaster prima e Sasser poi fecero centinaia di migliaia di vittime in tutto il mondo. Sfruttando vulnerabilità presenti proprio in RPC gli aggressori furono in grado di sviluppare e diffondere pericolosi malware in grado di eseguire codice dannoso sui sistemi Windows non aggiornati e direttamente esposti sulla rete Internet.
Posto che nelle realtà aziendali di più grandi dimensioni un attacco potrebbe arrivare proprio dalla stessa LAN, magari per opera di aggressori che riescono a muoversi lateralmente (CyberBattleSim, la simulazione di un attacco informatico targata Microsoft), proteggere i sistemi tramite firewall è la soluzione migliore per scongiurare qualunque rischio di aggressione. Non esponendo sulla WAN le porte usate da RPC gli aggressori remoti non potranno lanciare un attacco, anche quando dovessero iniziare a risultare disponibili i primi codici exploit funzionanti.
Per gli utenti che usano versioni client di Windows il semplice NAT del router verificando che non venga erroneamente effettuato l’inoltro delle porte verso quale sistema connesso in rete locale (Port forwarding, cos’è e qual è la differenza con il port triggering) è già più che sufficiente per scongiurare ogni rischio in attesa dell’installazione delle patch.
Bene comunque controllare sempre le porte eventualmente aperte sul router e procedere con la disattivazione di UPnP sullo stesso dispositivo: Configurare un router, le cose da fare dopo l’acquisto.
Una patch molto importante è quella che risolve il bug contraddistinto dall’identificativo CVE-2021-28444. Interessa gli utenti di Microsoft Hyper-V e soprattutto le aziende che offrono macchine virtuali ai clienti.
Sfruttando questo problema di sicurezza un aggressore può modificare le modalità con cui i pacchetti dati vengono trasferiti, sferrare attacchi man-in-the-middle e mettere fuori uso alcune macchine virtuali.
L’unica falla di sicurezza attivamente sfruttata dagli aggressori è quella che risolve il bug CVE-2021-28310: eseguendo un software “ad hoc” oppure combinando il problema con altre lacune di sicurezza a livello di browser web o di lettore di file PDF, un aggressore può acquisire privilegi più elevati.
Tranne che per le patch relative a Exchange, gli esperti consigliano di temporeggiare ancora qualche giorno prima di procedere con l’installazione per verificare che nessun aggiornamento appena distribuito possa essere causa di problemi “dell’ultim’ora” sfuggiti alla fase di testing.