Come da tradizione, il secondo martedì del mese Microsoft ha pubblicato le correzioni per le vulnerabilità dei suoi prodotti. A questo giro le falle chiuse sono 89 in tutto, di cui 14 critiche e 75 di gravità importante. Il conteggio tiene conto anche delle vulnerabilità di Microsoft Exchange che in realtà Microsoft ha chiuso la scorsa settimana (CVE-2021-26855, 2021-26857, CVE-2021-26858 e CVE-2021-27065) e di cui è stato diffuso anche lo script che consente agli amministratori IT di verificare se i loro sistemi sono vulnerabili. Gli attacchi si sono impennati dopo la pubblicazione delle patch, chi non le ha installate corre gravi rischi di sicurezza.

La seconda correzione in ordine di importanza riguarda una vulnerabilità zero-day in Internet Explorer, anch'essa già sfruttata attivamente. Potrebbe consentire a un attaccante di eseguire codice arbitrario sui computer. Il codice identificativo è CVE-2021-26411 e a scoprirlo è stata l'azienda di cyber security ENKI, secondo cui sarebbe stata sfruttata da un gruppo APT nordcoreano nel tentativo fallito di attaccare i suoi ricercatori di sicurezza tramite file MHTML dannosi. Una volta aperti, avrebbero scaricato due payload da un server remoto, uno dei quali conteneva appunto un exlpoit per la falla zero-day di Internet Explorer.

Aggiornamenti critici

Chiuso il capitolo delle vulnerabilità sfruttate attivamente, passiamo agli aggiornamenti critici. Questo Patch Tuesday corregge anche una serie di difetti di esecuzione del codice remoto (RCE) in Windows DNS Server (CVE-2021-26897, punteggio CVSS 9.8), server Hyper-V (CVE-2021-26867, punteggio CVSS 9.9), SharePoint Server (CVE-2021-27076, punteggio CVSS 8.8) e Azure Sphere (CVE-2021-27080, punteggio CVSS 9.3).
CVE-2021-26897 è da tenere in grande considerazione perché Microsoft reputa probabile il suo sfruttamento. Inoltre, è classificata come una vulnerabilità zero-click di bassa complessità. Significa che per scatenare un attacco non è necessaria alcuna interazione con l'utente. Vale la pena sottolineare che questa è una delle sette vulnerabilità di Windows DNS segnalate questo mese. Le altre sei sono valutate di gravità importante. 

Stesso discorso vale per vulnerabilità RCE di SharePoint Server (CVE-2021-27076). Anche qui la criticità è dovuta al fatto che ha una bassa complessità di attacco. Per andare a segno l'attaccante dev'essere in grado di creare o modificare siti con SharePoint. Il guaio è che la configurazione predefinita di SharePoint consente agli utenti autenticati di creare siti e costoro saranno proprietari di questi siti e avranno di conseguenza tutte le autorizzazioni.

Un'altra falla RCE critica riguarda Hyper-V di Windows (CVE-2021-26867), che potrebbe consentire a un attaccante di eseguire codice sul server Hyper-V. Nonostante l'alto livello di criticità assegnato da Microsoft, sembra tuttavia che sia rilevante solo per chi utilizza il file system Plan-9.