In occasione del patch day di dicembre Microsoft ha reso disponibili aggiornamenti di sicurezza utili a risolvere 87 vulnerabilità di cui 7 indicate come critiche, 6 precedentemente già note e una attivamente sfruttata dai criminali informatici.
La vulnerabilità 0-day che crea più apprensione è quella classificata come CVE-2021-43890: si tratta di un problema di sicurezza che affligge la procedura d’installazione delle applicazioni in formato AppX, tipicamente scaricate dal Microsoft Store.
Microsoft conferma che pacchetti AppX modificati “ad arte” vengono utilizzati dagli aggressori per provocare l’installazione di diverse famiglie di malware come Emotet, Trickbot e Bazaloader.
I criminali informatici stanno utilizzando campagne phishing su larga scala per diffondere i pacchetti malevoli sotto forma di allegati alle email: la vulnerabilità viene sfruttata non appena l’utente prova ad aprire il file AppX.
Meritevoli di attenzione sono la falla che interessa EFS (Encrypted File System): un aggressore potrebbe sfruttarla per eseguire codice dannoso sui sistemi Windows anche se il server EFS non fosse in esecuzione.
Microsoft interviene ancora una volta sulla configurazione dello spooler della stampante (CVE-2021-41333) per correggere una vulnerabilità che potrebbe portare, di nuovo, all’acquisizione di privilegi più elevati.
Particolarmente grave è la vulnerabilità legata ai server iSNS che in Windows Server permette il rilevamento automatico, la gestione e la configurazione di periferiche iSCSI: è l’equivalente di un DNS per periferiche iSCSI.
In questo caso la falla CVE-2021-43215 viene indicata come altamente critica (9,8 punti su un massimo di 10) perché può portare all’esecuzione di codice arbitrario sui sistemi vulnerabili.
Viene segnalata anche una falla nell’app Microsoft Office (CVE-2021-43905) che può portare all’esecuzione di codice in modalità remota.
L’elenco degli aggiornamenti di sicurezza per Windows e per gli altri software Microsoft che sono stati appena rilasciati è consultabile facendo riferimento all’analisi pubblicata da ISC-SANS.