Come ogni secondo martedì del mese, il 14 maggio scorso è stata la volta del rilascio dei nuovi aggiornamenti Windows e delle patch di sicurezza destinate agli altri software Microsoft.
Nel complesso, l’azienda di Redmond ha corretto 67 vulnerabilità. Di queste solamente una è riportata come “a elevata criticità” e due lacune di sicurezza sarebbero già sfruttate dai criminali informatici.
La falla critica riguarda le installazioni di SharePoint Server (CVE-2024-30044): in assenza della correzione, peraltro in casi molto particolari, può verificarsi l’esecuzione di codice in modalità remota. Per quanto concerne le vulnerabilità già sfruttate, la falla zero-day nel componente Windows DWM (Desktop Windows Management, CVE-2024-30051) può consentire a un attaccante di acquisire i privilegi SYSTEM.
DWM è un servizio di sistema che Microsoft ha aggiunto in Windows all’epoca di Vista: utilizza l’accelerazione hardware per effettuare il rendering delle grafica e degli elementi dell’interfaccia. Gli autori del malware QakBot, un noto trojan bancario, stanno approfittando proprio del problema scoperto in DWM per avere gioco facile sui sistemi delle vittime.
La seconda lacuna di sicurezza già utilizzata dai criminali informatici ha a che fare con il solito vecchio e obsoleto motore di rendering MSHTML.
L’intera lista delle correzioni rilasciate da Microsoft è disponibile nella consueta analisi mensile condivisa da ISC-SANS. Tuttavia, questo mese, più che un’analisi dettagliata delle singole patch, risulta opportuno focalizzarsi su alcuni interventi degni di nota.
Microsoft risolve i problemi con i servizi VPN introdotti con gli aggiornamenti di aprile 2024
Avete sperimentato problemi di connessione con i servizi VPN dopo l’installazione delle patch di un mese fa? Microsoft conferma l’esistenza di queste difficoltà e precisa che con gli aggiornamenti di maggio, le problematiche risulteranno finalmente superate.
A essere interessati sono gli utenti di Windows 11, Windows 10 oltre che le installazioni di Windows Server 2008 e seguenti. La risoluzione passa attraverso l’applicazione dei seguenti pacchetti di aggiornamento:
- Client: Windows 11 22H2/23H2 (KB5037771), Windows 11 21H2 (KB5037770), and Windows 10 (KB5037768).
- Server: Windows Server 2022 (KB5037782), Windows Server 2019 (KB5037765), Windows Server 2016 (KB5037763), Windows Server 2012 R2 (KB5037823), Windows Server 2012 (KB5037778), Windows Server 2008 R2 (KB5037780), Windows Server 2008 SP2 (KB5037800).
Gli amministratori che non fossero ancora nelle condizioni di installare gli aggiornamenti di maggio, possono risolvere i problemi con le VPN semplicemente rimuovendo l’aggiornamento cumulativo di aprile scorso. Basta digitare cmd
nella casella di ricerca di Windows, scegliere Esegui come amministratore quindi impartire il comando dism /online /get-packages
per ottenere la lista dei pacchetti.
Dopo essere risaliti al nome dell’aggiornamento cumulativo installato ad aprile, si può impartire il comando dism /remove-package
, specificando di seguito il nome del pacchetto da eliminare.
Va detto, tuttavia, che la temporanea eliminazione dell’aggiornamento di aprile deve essere ben soppesata, in quanto porta all’annullamento di tutte le correzioni di sicurezza precedentemente apportate.
Risolti i problemi di autenticazione con NTLM e il riavvio anomalo del controller di dominio
L’applicazione delle patch di aprile 2024 ha introdotto una serie di anomalie. Molti utenti hanno segnalato l’impossibilità di autenticarsi usando il protocollo NTLM (NT LAN Manager) mentre gli amministratori IT hanno lamentato riavvii improvvisi del controller di dominio.
Sui sistemi affetti dalla problematica in questione, è facile osservare un carico di lavoro inspiegabile che in molti casi porta al crash dl processo LSASS (Local Security Authority Subsystem Service). Gli aggiornamenti di maggio che risolvono i comportamenti sperimentati da utenti e tecnici a partire dal mese scorso sono i seguenti:
- Windows Server 2022 (KB5037782)
- Windows Server 2019 (KB5037765)
- Windows Server 2016 (KB5037763)
- Windows Server 2012 R2 (KB5037823)
- Windows Server 2012 (KB5037778)
- Windows Server 2008 R2 (KB5037780)
- Windows Server 2008 SP2 (KB5037800)
L’installazione degli aggiornamenti di maggio non va a buon fine e mostra l’errore 0x800f0982
Purtroppo, però, anche questo mese non è filato tutto liscio. Microsoft conferma la comparsa dell’errore 0x800f0982 su alcuni sistemi Windows: le edizioni Home sono escluse ma alcune installazioni di Windows 10 e Windows Server 2019 possono rifiutarsi di installare i pacchetti di aggiornamento di maggio.
L’anomalia interessa le installazioni di Windows che non sono in lingua inglese. In attesa di una correzione ufficiale, come misura correttiva non ufficiale, si può valutare l’installazione del pacchetto di lingua inglese (en-us). Le istruzioni per chi volesse procedere in tal senso, sono contenute in questo post su Reddit.
Credit immagine in apertura: iStock.com – Diy13