Nel corso del suo “patch day” mensile, Microsoft ha rilasciato aggiornamenti correttivi che nel complesso risolvono 120 vulnerabilità in Windows e negli altri software dell’azienda di Redmond. 23 lacune di sicurezza, adesso risolte, sono considerate “critiche” mentre tutte le altre sono indicate come “importanti”.
La buona notizia è che questo mese nessuna delle problematiche era già nota ai criminali informatici né sfruttata per effettuare attacchi.
Il problema di sicurezza probabilmente più grave in assoluto che abbiamo potuto scorgere tra i vari bollettini pubblicati da Microsoft è quello contraddistinto con l’identificativo CVE-2020-0922 che ha a che fare con “Microsoft COM”.
È un bug particolarmente critico perché interessa la totalità degli utenti di Windows, dalle versioni più vecchie a quelle più recenti del sistema operativo, e può essere utilizzato dai criminali informatici per eseguire codice nocivo semplicemente invitando la vittima a visitare una pagina web contenente JavaScript malevolo o, in alternativa, eseguendo un file.
Come spesso accaduto in passato, i tecnici di Microsoft hanno corretto una nuova grave vulnerabilità nel componente Windows Graphics Device Interface (GDI+) che può essere utilizzata per eseguire codice dannoso attraverso la visita di una pagina web o l’apertura di un documento preparato dagli aggressori (CVE-2020-1285).
Alcune falle nella libreria Windows Codecs possono portare all’esecuzione di codice potenzialmente nocivo allorquando si aprire un file (tipicamente un’immagine) con un software che si appoggia ai componenti Microsoft (CVE-2020-1129 e CVE-2020-1319). Un problema simile è stato riscontrato e corretto anche nel Windows Camera Codec Pack (CVE-2020-0997).
Queste tre patch riguardano però soltanto gli utenti di Windows 10 e delle versioni di Windows Server più recenti.
Cliché sovrapponibile per quanto riguarda le vulnerabilità critiche individuate in Windows Media Audio Decoder (CVE-2020-1508 e CVE-2020-1593) che potrebbero essere sfruttate, in tutte le versioni di Windows, convincendo l’utente ad aprire un documento malevolo.
Gli utenti di Edge nell’ultima versione basata su Chromium possono poi subire un eventuale attacco in mancanza dell’aggiornamento che risolve la falla CVE-2020-0908. Anche qui l’aggressione comincia con la semplice visita di una pagina web.
Particolarmente rilevante anche la falla CVE-2020-1252 presente in tutte le versioni di Windows che potrebbe essere utilizzata per prendere pieno possesso di un sistema altrui. È però necessario che la vittima esegua un file sul sistema locale: la falla non è utilizzabile direttamente in modalità remota.
Completano il quadro di settembre 2020 una serie di patch correttive per problemi rilevanti scoperti in SharePoint, in Office così come in altri software Microsoft.
Per una disamina più puntuale degli aggiornamenti di sicurezza Microsoft del mese suggeriamo di consultare l’analisi elaborata da The Zero Day Initiative (ZDI) e ISC SANS.