In occasione del patch day di agosto 2022 Microsoft ha rilasciato gli aggiornamenti correttivi per ben 141 vulnerabilità. Di queste 17 sono a elevata criticità, 2 erano state precedentemente già rivelate e una è sfruttata dai criminali informatici.
La vulnerabilità indicata come exploited è contraddistinta dall’identificativo CVE-2022-34713, è stata battezzata DogWalk ed è relativa a un problema di sicurezza che si inserisce nello stesso solco tracciato da Follina.
Come in quel caso, infatti, la vulnerabilità riguarda Microsoft Diagnostic Tool (MSDT), lo strumento che viene utilizzato per raccogliere informazioni (con la possibilità di inviare i dati a Microsoft) in caso di crash di un programma.
Inviando un’email, l’aggressore può convincere l’utente ad aprire l’allegato malevolo per provocare l’esecuzione di codice arbitrario in modalità remota. In alternativa, il file dannoso può essere ospitato sul Web sfruttando qualche altra falla per disporne il caricamento automatico sul sistema della vittima.
Nello specifico, la falla DogWalk permette di aggiungere codice dannoso nella cartella Esecuzione automatica di Windows: in questo modo esso verrà eseguito al successivo riavvio del sistema.
Il problema interessa tutte le versioni di Windows, comprese Windows 11 e Windows Server 2022 tanto che CISA (Cybersecurity and Infrastructure Security Agency) ha esortato gli enti pubblici statunitensi ad applicare l’aggiornamento per risolvere CVE-2022-34713 entro il prossimo 30 agosto.
Microsoft torna poi ad aggiornare Exchange Server dal momento che lo storico software contiene due vulnerabilità critiche che permettono a un aggressore di acquisire privilegi elevati (CVE-2022-21980 e CVE-2022-24477).
Un utente malintenzionato può sfruttare queste vulnerabilità inducendo la vittima a visitare una pagina Web malevola. La novità è che per mettere in sicurezza le installazioni di Exchange Server gli utenti sono chiamati ad abilitare la Extended Protection (EP).
In una pagina di supporto Microsoft descrive i requisiti per servirsi della Extended Protection.
Una vulnerabilità particolarmente critica è contrassegnata con l’identificativo CVE-2022-35804: riguarda di nuovo l’implementazione in Windows dei componenti client e server SMB utilizzati per condividere file, cartelle e altre risorse in rete.
Un aggressore può predisporre un server SMBv3 malevolo e fare in modo che la vittima vi si connetta (ad esempio inviando un link via email, sistemi di messaggistica o altri canali di comunicazione). A questo punto può verificarsi l’esecuzione di codice arbitrario, confezionato al criminale informatico.
Al momento sembra che il problema riguardi solamente Windows 11 e non le precedenti versioni del sistema operativo.
C’è anche una patch per Secure Boot che riguarda tutte le versioni del sistema operativo Microsoft a partire da Windows 8.1. L’impatto dell’aggiornamento non è al momento chiaro con l’azienda di Redmond che si è limitata a condividere alcune informazioni in questa pagina.
Altre vulnerabilità critiche riguardano Windows Point-to-Point Protocol (PPP), Active Directory Domain Services, Azure Batch Node Agent, Windows Secure Socket Tunneling Protocol (SSTP) e Hyper-V.
Decisamente importante appare anche la vulnerabilità CVE-2022-35748 che riguarda tutti i server basati su IIS (Internet Information Services): senza la patch un aggressore remoto può lanciare un attacco DoS (Denial of Service) impedendo il corretto funzionamento del server Web.
Nel post di Zero Day Initiative gli aggiornamenti di sicurezza di agosto sono ordinati per importanza, da quelli più rilevanti a scendere.
Maggiori informazioni sono reperibili anche nell’analisi pubblicata sul blog di Cisco Talos.
Al solito il consiglio è quello di attendere almeno alcuni giorni prima di installare gli aggiornamenti, a meno che non si gestiscano macchine direttamente esposte sulla rete o potenzialmente a rischio. Lato client è ovviamente molto importante l’aggiornamento correttivo per la falla DogWalk.
In ogni caso, almeno per quanto riguarda le falle che interessano i sistemi Windows Server, è possibile scorrere i vari bollettini Microsoft e installare i pacchetti Security only se si avesse la pressante esigenza di risolvere una specifica vulnerabilità di sicurezza.
I pacchetti Security only pesano pochi Megabyte e si installano quasi istantaneamente pur necessitando, quasi in tutti i casi, del riavvio della macchina.
Il servizio di micropatching 0patch aveva offerto ai suoi utenti, già da tempo, aggiornamenti di sicurezza non ufficiali sia per Follina che per DogWalk (applicabili in-memory senza riavvio del sistema).