Microsoft ha avviato nelle scorse ore la distribuzione di un ampio ventaglio di patch di sicurezza per Windows, Office, Edge, Internet Explorer, Visual Studio, Dynamics, Azure DevOps ed altri prodotti software dell’azienda di Redmond. Il “patch day” di giugno 2020 è di fatto uno dei più vasti di sempre con la risoluzione di ben 129 vulnerabilità.
I tecnici di Microsoft hanno presentato i principali aggiornamenti in questa pagina anche se una disamina più puntuale, con l’indicazione della gravità di ciascun bug di sicurezza, è disponibile sul sito del SANS Internet Storm Center.
Fortunatamente, allo stato attuale, nessuno dei problemi di sicurezza sembra utilizzato nell’ambito degli attacchi sferrati dai criminali informatici.
Una delle patch più importanti (CVE-2020-1248) riguarda una vulnerabilità scoperta nella Windows Graphics Device Interface (GDI). Un aggressore può sfruttare questa vulnerabilità spronando l’utente a visitare una pagina web malevola appositamente o inducendolo ad aprire un documento altrettanto pericoloso così da ottenere pieno controllo dell’altrui sistema.
Sfruttando la falla CVE-2020-1300, poi, un aggressore può eseguire codice arbitrario sul sistema della vittima semplicemente invitando l’utente ad aprire un file compresso in formato CAB, ad esempio presentandolo come un aggiornamento utile.
Molto pericolosa anche la vulnerabilità CVE-2020-1299: semplicemente aprendo una cartella contenente un collegamento malevolo (file .LNK
), un aggressore può eseguire codice pericoloso sulla macchina altrui.
Il bug CVE-2020-1229 ha a che fare con l’anteprima di Outlook: sui sistemi non aggiornati, un criminale informazioni può disporre il caricamento di codice arbitrario già alla visualizzazione dell’anteprima dell’immagine malevola all’interno del client di posta elettronica.
Molto simile, nel risultato ottenibile dagli aggressori, anche la vulnerabilità CVE-2020-1286 che riguarda solo gli utenti di Windows 10 e Windows Server 2019: essa ha a che fare con una scorretta gestione dei percorsi da parte della shell del sistema operativo. In questo caso, affinché l’attacco vada in porto, la vittima dovrebbe aprire un file malevolo oppure visitare una pagina web appositamente costruita.
Notevole anche CVE-2020-1317: sfruttando una lacuna presenta nell’editor dei criteri di gruppo di Windows un eventuale aggressore che avesse già ha acquisito l’accesso al sistema da attaccare può servirsi dei privilegi SYSTEM anziché usare quelli dell’account utente non amministrativo che egli sta utilizzando.
I ricercatori di CyberArk al paragrafo “Exploiting with ease” spiegano in questa pagina quanto un attacco sia davvero semplice da sferrare.
Il consiglio è quello di attendere ancora qualche giorno prima di applicare tutti gli aggiornamenti in modo tale che emergano eventuali comportamenti imprevisti. Maggiori informazioni, con una panoramica complessiva sul livello di pericolosità di ciascun bug, sono reperibili a questo indirizzo.
Qualche suggerimento per la corretta gestione degli aggiornamenti Microsoft nel nostro articolo Windows Update: come gestire gli aggiornamenti.