Patch day Microsoft di aprile 2022: c'è una falla di sicurezza wormable

Microsoft ha da poco avviato la distribuzione degli aggiornamenti di sicurezza di aprile 2022 per Windows, Office, Edge, .NET Framework, Hyper-V, Skype, Visual Studio e altri software dell’azienda di Redmond.

Complessivamente sono 145 le vulnerabilità risolte questo mese dai tecnici Microsoft: 10 di esse sono indicate come a elevata criticità e di una sola sono già noti pubblicamente i dettagli tecnici.

La lacuna di sicurezza più pericolosa è quella conosciuta con l’identificativo CVE-2022-26809: se sfruttata da parte di un aggressore essa può consentire l’esecuzione di codice arbitrario senza alcuna interazione da parte della vittima.

Windows integra diversi componenti RPC (Remote Procedure Call) ovvero strumenti software che attivano delle funzionalità su esplicita richiesta di computer e dispositivi diversi da quelli sui quali si trovano in esecuzione.
Il problema CVE-2022-26809 sfrutta proprio una lacuna in un componente RPC di Windows ed è sfruttabile previa connessione con la porta TCP 445.

La falla di sicurezza fa immediatamente correre il pensiero agli anni 2003-2004 quando worm come Blaster prima e Sasser poi fecero centinaia di migliaia di vittime in tutto il mondo. Sfruttando vulnerabilità presenti proprio in RPC gli aggressori furono in grado di sviluppare e diffondere pericolosi malware capaci di eseguire codice dannoso sui sistemi Windows non aggiornati e direttamente esposti sulla rete Internet.
Da allora le cose, per fortuna, sono molto cambiate ed è difficile che un sistema Windows sia direttamente esposto sulla rete Internet. In ogni caso, fintanto che non si applicheranno le patch ufficiali Microsoft di aprile 2022, ci si dovrà accertare che la porta TCP 445 non sia raggiungibile dall’esterno.

Strettamente correlata è la falla CVE-2022-24500 che riguarda il protocollo SMB per la condivisione di file, cartelle e altre risorse in Windows: anche in questo caso l’attacco può andare a buon fine attraverso la rete sfruttando la porta TCP 445. Un’apposita patch (CVE-2022-24541) riguarda espressamente i sistemi Windows Server e interessa sempre le comunicazioni che avvengono sulla porta TCP 445.

Tornano di grande attualità, poi, le vulnerabilità scoperte nell’implementazione di NFS (Windows Network File System): abbiamo visto cos’è NFS e perché i problemi di sicurezza che riguardano questo componente sono davvero pericolosi.
Le falle risolte sono due (CVE-2022-24491 e CVE-2022-24497) e devono essere immediatamente applicate sui sistemi ove si fosse abilitato il ruolo Server for NFS.

Microsoft ha rilasciato inoltre diverse patch per correggere vulnerabilità in Hyper-V, la soluzione per la virtualizzazione utilizzabile sia su Windows Server che sui sistemi Windows client. In questo caso il rischio consiste nell’esecuzione di codice arbitrario anche fuori dai confini della macchina virtuale Hyper-V.

Sui server che gestiscono servizi di directory è inoltre bene installare l’aggiornamento a correzione della vulnerabilità CVE-2022-26919: il rischio è che l’implementazione del protocollo LDAP possa essere sfruttata per eseguire codice arbitrario.

Particolarmente rilevante è anche l’aggiornamento CVE-2022-26904 perché gli aggressori informatici hanno già sviluppato il codice exploit per sfruttarla e acquisire privilegi più elevati sul sistema della vittima (un modulo “ad hoc” è già stato integrato in Metasploit).

Per approfondire e ottenere l’elenco delle patch Microsoft di aprile 2022 è possibile fare riferimento alla consueta analisi pubblicata da ISC-SANS.

Tante correzioni questo mese riguardano lo spooler della stampante: secondo Microsoft tutto dovrebbe andare liscio come l’olio ma se doveste avere problemi con la stampante tenete presente quanto abbiamo scritto nell’articolo su come sbloccare la stampante e eliminare la coda di stampa.

Infine un auspicio: ci auguriamo che Microsoft spinga l’acceleratore sulla funzione Hotpatching che permette di installare gli aggiornamenti in memoria senza richiedere il riavvio della macchina. Un approccio simile è stato da tempo introdotto da 0patch.