Il Patch Tuesday di giugno, pubblicato questa notte, è il più ricco della storia. Microsoft ha chiuso
129 vulnerabilità, fra cui la nuova SMBv3 soprannominata SMBleed. Gli aggiornamenti di sicurezza di questo mese sono riassunti nella
pagina ufficiale. Sono comprese le patch per Windows, Edge, ChakraCore, Internet Explorer, Office, Office Services e Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps e Adobe Flash Player.
Di seguito ci concentriamo sugli aggiornamenti di maggiore criticità e interesse, ricordando che è importante
installare gli update il prima possibile.
Le prime criticità su cui è bene mettere l'attenzione sono
CVE-2020-1226 e
CVE-2020-1225. Sono entrambe vulnerabilità che consentono l'
esecuzione di codice remoto in Microsoft Excel. Sfruttandole, i cyber criminali potrebbero eseguire arbitrariamente codice da remoto con le stesse autorizzazioni dell'utente legittimo. È una delle falle
più sfruttate dalle numerose campagne di phishing in corso. Usando pretesti che vanno dalle ricerche di lavoro alle informazioni sulla pandemia, gli attaccanti convincono le vittime ad aprire un file di Office malevolo per sfruttare queste vulnerabilità.
I problemi con Microsoft Server Message Block
L'altra vulnerabilità di grande interesse è la
CVE-2020-1206, conosciuta anche come
SMBleed. Riguarda un problema di divulgazione delle informazioni del protocollo
Microsoft Server Message Block 3.1.1 (SMBv3), dovuto al modo in cui gestisce determinate richieste. Il problema di partenza è lo stesso che
abbiamo descritto per SMB Ghost e colpisce sistemi Windows 10 nelle versioni 1903 e 1909.
SMB, che viene eseguito sulla porta TCP445, è uno dei protocolli di rete per la condivisione di file, l'esplorazione della rete, i servizi di stampa e altro. La falla è dovuta dal modo in cui la funzione di decompressione in questione ("Srv2DecompressData") gestisce le richieste di messaggi appositamente predisposti, che vengono inviati a un server SMBv3. Questo permette a un cyber criminale di leggere la memoria del kernel non inizializzata e apportare modifiche alla funzione di compressione.
La vulnerabilità può essere sfruttata sia sul fronte server sia su quello client. Nel primo caso un cyber criminale deve inviare un pacchetto di dati appositamente creato al server SMBv3 di destinazione. Per agire su un client deve invece creare un server SMBv3 malevolo e convincere il client a connettersi ad esso. In entrambi i casi, se l'attacco va a buon fine, può portare alla
divulgazione di informazioni o aprire le porte ad altri attacchi.
Sempre riguardo al protocollo SMB, nel Patch Tuesday di questo mese è stata corretta anche la vulnerabilità
CVE-2020-1284. Riguarda la negazione del servizio client/server di Windows SMBv3 ed è una falla DoS dovuta al modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Anche qui i cyber criminali possono prendere di mira un server o un client, con la stessa tecnica descritta sopra.
Chiudiamo con i guai di SMB dando un'occhiata alla vulnerabilità
CVE-2020-1301. Si tratta di una falla che chiama in causa l'esecuzione di codice remoto SMB di Windows. Per via di una vulnerabilità nel protocollo Microsoft Server Message Block 1.0 (SMBv1), un cyber criminale potrebbe
eseguire codice arbitrario su un sistema vittima.
Esecuzione di codice remoto
Passiamo alla falla
CVE-2020-1194, una vulnerabilità DoS dovuta all'errata gestione delle operazioni del file system da parte del Registro di sistema di Windows. Per sfruttarla, un attaccante dovrebbe accedere al sistema e lanciare un'applicazione ad hoc.
Un altro tema caldo è quello di Windows Shell.
CVE-2020-1286 è una vulnerabilità della shell di
Windows che non convalida correttamente i percorsi dei file. Un criminale informatico può sfruttarla per
eseguire codice arbitrario su un host, acquisendo gli stessi privilegi dell'account legittimo. Per riuscire nell'intento è necessario che l'utente apra un
file malevolo inviato via email o visiti un
sito Web dannoso progettato ad hoc.
L'esecuzione di codice remoto è leitmotiv anche delle vulnerabilità
CVE-2020-1208 e
CVE-2020-1236 (riguardano entrambe Windows Jet e la gestione non corretta degli oggetti in memoria) e di
CVE-2020-1213,
CVE-2020-1214,
CVE-2020-1215,
CVE-2020-1216,
CVE-2020-1230e
CVE-2020-1260. In questi casi la gestione scorretta degli oggetti in memoria è dovuta a un problema del motore VBScript. Esistono più scenari in cui un attaccante potrebbe sfruttare questi difetti, fra cui l'accesso a un sito Web dannoso o compromesso e l'apertura di un documento di Microsoft Office malevolo.
Sempre l'esecuzione di codice remoto è alla base della falla
CVE-2020-1248. Riguarda la Windows
Graphics Device Interface (GDI) e il modo in cui gestisce gli oggetti in memoria. Senza la correzione appena pubblicata, potrebbe consentire a un cyber criminale di
prendere il controllo di un sistema. Anche qui lo sfruttamento parte dal presupposto che la vittima apra un file dannoso o visiti un sito Web malevolo.
Chiudiamo con la
CVE-2020-1300, una vulnerabilità di Microsoft Windows causata dalla gestione non corretta dei
file CAB. Sfruttandola è possibile eseguire codice arbitrario sul sistema preso di mira, dopo che l'utente ha messo in atto una delle azioni indicate nelle vulnerabilità precedenti.
Come molti avranno notato, la maggior parte delle vulnerabilità si attiva mediante
attacchi di phishing che portano le vittime a
scaricare file dannosi o a visitare siti infetti. Il dato è in linea con gli studi che segnalano un forte
incremento di queste campagne, non solo a tema coronavirus. È quindi importante, oltre che installare gli aggiornamenti, svolgere un'
attività di formazione mirata all'apprendimento delle tecniche per non cadere in inganno davanti ai messaggi di posta elettronica di dubbia provenienza.