Nel corso degli ultimi mesi del 2018 le vulnerabilità scoperte nei software Microsoft sono state attivamente sfruttate per condurre diversi attacchi. Il nuovo anno è cominciato con il rilascio di 187 aggiornamenti tramite Windows Update destinati alle varie versioni del sistema operativo. Sono però essenzialmente cinque le lacune di sicurezza che meritano particolare attenzione.
La vulnerabilità più grave è quella contraddistinta dall’identificativo CVE-2019-0547: essa riguarda il client DHCP di Windows 10 versione 1803 (Windows 10 Aggiornamento di aprile 2018) e Windows Server versione 1803. Un bug presente nel client DHCP, se sfruttato da parte di utenti malintenzionati, può provocare l’esecuzione di codice dannoso sulla macchina.
La lacuna di sicurezza risolvibile installando gli aggiornamenti Microsoft di gennaio 2019 è stata ritenuta particolarmente grave da parte dell’azienda di Redmond.
Microsoft Exchange soffre di un problema di sicurezza che può consentire l’esecuzione di codice arbitrario con i privilegi SYSTEM semplicemente inviando un’email. La falla CVE-2019-0586, che interessa Exchange 2016 ed Exchange 2019, può essere corretta installando le patch rilasciate da Microsoft proprio ieri.
Molto importanti sono gli aggiornamenti che risolvono le vulnerabilità CVE-2019-0550 e CVE-2019-0551 in Microsoft Hyper-V: se sfruttate esse possono permettere a un utente o a un processo che stanno utilizzando il sistema operativo guest installato nella macchina virtuale di eseguire codice arbitrario sull’host.
Sebbene la gravità del problema non sia paragonabile a quella delle vulnerabilità sin qui citate, il bollettino CVE-2019-0622 descrive un bug di Skype per Android che un utente malintenzionato può sfruttare per bypassare la schermata di blocco e accedere ai contenuti personali altrui.
Il problema rinvenuto in Skype per Android era stato documentato in un video (che ripubblichiamo di seguito) a fine anno. Per mettersi al riparo da attacchi posti in essere da parte di coloro che avessero la disponibilità fisica del proprio smartphone Android basta aggiornare Skype tramite Google Play Store.
Maggiori informazioni sugli aggiornamenti appena rilasciati da Microsoft nel corso del suo “patch day” mensile sono disponibili nell’analisi a cura di Zero Day Initiative.