Il tradizionale Patch Tuesday di aprile ha visto la pubblicazione da parte di Microsoft delle patch per 108 vulnerabilità, fra cui 19 classificate come Critiche e 89 come Importanti. Le critiche comprendono cinque bug zero-day e alcune falle relative a Microsoft Exchange. I numeri riflettono un mese difficile sotto l'aspetto della sicurezza sia per la vicenda Exchange sia per altri tipi di attacchi.

Oltre tutto, delle cinque vulnerabilità zero-day quattro sono state divulgate pubblicamente e una è già attivamente sfruttata, quindi a questo giro è più importante che mai dare corso il prima possibile agli upgrade.

Cinque vulnerabilità zero-day

Partiamo proprio dalle falle zero-day. Le quattro divulgate pubblicamente ma non ancora sfruttate sono le seguenti.

CVE-2021-27091 legata all'escalation dei privilegi dell'RPC Endpoint Mapper Service. Riguarda i sistemi Windows 7, Server 2008 R2 eServer 2012. È classificata come importante, ma è disponibile un codice Proof-of-Concept che potrebbe consentire a un attaccante di sviluppare rapidamente un exploit funzionante.
CVE-2021-28312 legata all'NTFS Denial of Service. Come suggerito dal nome, potrebbe consentire un attacco Denial of Service. Affligge i sistemi su Windows 10 1809 e Server 2019 e versioni successive. È classificata solo come moderata, ma questo non deve trarre in inganno perché è già disponibile un codice di exploit funzionale, quindi deve essere trattata come una falla critica.

CVE-2021-28437 relativa alla Disclosure Vulnerability di Windows Installer – PolarBear. Sono state rese pubbliche informazioni sufficienti per dare agli attaccanti un vantaggio nello sviluppo di un exploit funzionale, quindi installare la patch è prioritario. Inoltre, le falle di questo tipo spesso consentono a un attaccante di accedere a informazioni aggiuntive per facilitare un'ulteriore compromissione del sistema. Influisce su tutti i sistemi operativi Windows, compresi i non più supportati Windows 7 e Server 2008.

CVE-2021-28458 – sull'escalation dei privilegi nella libreria ms-rest-nodeauth di Azure. È stata classificata come Importante e al momento non risultano altre informazioni.

La falla che è già stata sfruttata attivamente è invece identificata dalla sigla CVE-2021-28310 ed è relativa all'escalation dei privilegi di Win32k. Anche se valutata solo come Importante, questa vulnerabilità è stata rilevata in attacchi già attivi. Il ricercatore di Kaspersky che l'ha scoperta reputa che lo sfruttamento sia opera del gruppo BITTER APT e di altri gruppi criminali. Probabilmente è usata in combinazione con altri exploit del browser per aggirare le sandbox o ottenere privilegi di sistema. Le indagini fervono per ricostruire la catena di attacco. È possibile che l'exploit venga impiegato in combinazione con un'altra vulnerabilità zero-day del browser o con altre falle note e già chiuse.

Ancora problemi per Exchange

Microsoft Exchange non ha pace, perché NSA ha rilevato e segnalato a Microsoft altre quattro vulnerabilità critiche di code execution da remoto. Due riguardano la pre-autenticazione quindi per poterle sfruttare i criminali informatici non hanno bisogno di ottenere preventivamente l'accesso al server.

Gli amministratori di sistema dovranno aspettarsi ulteriori aggiornamenti questo mese, perché nel corso del Pwn2Own sono emerse altre criticità da chiudere con urgenza. Delle quattro falle corrette ieri, nessuna al momento dispone di un exploit noto. Considerata la brutta esperienza di Exchange a inizio anno, tuttavia, è meglio correre velocemente ai ripari perché è ovvio che l'interesse dei cyber criminali attorno a Exchange in questo momento è ai massimi storici.