Come ogni secondo martedì del mese Microsoft ha rilasciato una serie di aggiornamenti di sicurezza per Windows e per gli altri suoi prodotti software.
A gennaio 2021 i tecnici dell’azienda di Redmond hanno complessivamente risolto 83 problematiche di sicurezza e una falla zero-day.
Per quanto riguarda lo zero-day (CVE-2021-1647) viene fatto riferimento a un problema scoperto in Microsoft Defender che può portare all’esecuzione di codice arbitrario sul sistema dell’utente.
La stessa società conferma che l’esecuzione di codice può avvenire anche in modalità remota (si tratta di una falla RCE, Remote Code Execution) nel momento in cui il motore di Microsoft Defender dovesse trovarsi a esaminare contenuti malevoli, appositamente progettati per far leva sulla vulnerabilità di sicurezza.
Il quadro è complicato dal fatto che in rete si trovano già diversi codici PoC (proof-of-concept) che fanno leva sul problema adesso corretto.
Per mettersi al riparo da qualunque rischio di aggressione è importante verificare l’utilizzo del Microsoft Malware Protection Engine versione 1.1.17700.4 o successiva: basta digitare Sicurezza di Windows nella casella di ricerca, fare clic su Impostazioni in basso a sinistra (icona ingranaggio) e poi su Informazioni su. A questo punto è possibile verificare quanto compare accanto a Versione motore: se la release indicata fosse antecedente la 1.1.17700.4 si dovranno provvedere ad applicare gli ultimi aggiornamenti per Microsoft Defender tramite Windows Update.
Tra le altre problematiche più gravi c’è un bug nel file Win32k.sys (CVE-2021-1709) che può essere sfruttato in locale per acquisire privilegi più elevati e sferrare altri attacchi. Lo sfruttamento del problema di sicurezza non richiede alcuna interazione da parte dell’utente.
Da segnalare una serie di lacune di sicurezza a livello RPC (Remote Procedure Call; CVE-2021-1658, CVE-2021-1660, CVE-2021-1664, CVE-2021-1666, CVE-2021-1667, CVE-2021-1671, CVE-2021-1673, CVE-2021-1700, CVE-2021-1701) che possono essere sfruttate nelle varie versioni di Windows per eseguire codice arbitrario.
Stando a quanto rivelato da Microsoft le vulnerabilità in questione potrebbero essere sfruttate soltanto da un malintenzionato che già disponga dell’accesso alla rete al quale è connesso il sistema vulnerabile. È inoltre necessario disporre delle credenziali valide di un account utente, anche dotato di un ventaglio di privilegi ridotto.
Si registra anche una vulnerabilità critica in Edge (CVE-2021-1705), un problema legato alla gestione di eventuali file malevoli in formato HEVC (CVE-2021-1643) e un bug in splwow64
(CVE-2021-1648) che può anch’esso favorire l’acquisizione di privilegi più elevati da parte di un malintenzionato.
Infine, Microsoft ha provveduto a risolvere il problema di sicurezza nell’utilità PsExec (ne avevamo parlato nell’articolo Vulnerabilità in PsExec consente di acquisire i privilegi SYSTEM in Windows) rilasciando una nuova versione esente dal problema.
Maggiori informazioni su tutti gli aggiornamenti del mese nell’analisi pubblicata da SANS-ISC.