Nel Patch Tuesday di maggio Microsoft ha pubblicato le correzioni per 55 vulnerabilità nei sistemi operativi Windows e in altri software. Di queste, quattro possono essere sfruttate per prendere il controllo da remoto dei sistemi vulnerabili senza alcuna azione da parte degli utenti. Il volume degli aggiornamenti di questo mese è pari a circa la metà di quello di aprile, ma questo non deve far pensare che non ci siano elementi di criticità.

La priorità per le aziende che utilizzano l'HTTP Protocol Stack HTTP.sys dev'essere l'installazione della patch per la falla CVE-2021-31166. È un difetto di Windows 10 e Windows Server che consente a un attaccante non autenticato di eseguire codice dannoso da remoto. Sfruttando questa vulnerabilità, un attaccante potrebbe compromettere un host semplicemente inviando gli un pacchetto di dati realizzato ad hoc. Gli esperti di sicurezza di Trend Micro fanno notare che questo tipo di vulnerabilità è un obiettivo primario da sfruttare per gli operatori ransomware, perché si tratta a tutti gli effetti di un exploit wormable che non richiederebbe alcuna forma di autenticazione.

Un'altra falla da chiudere urgentemente è la CVE-2021-26419, relativa a Internet Explorer 11. Per attivarla è necessario che un utente visiti un sito canaglia controllato dagli attaccanti o che apra un documento di Office che incorpora controlli ActiveX. Considerato il problema, e il fatto che IE 11 è un browser ormai superato, è consigliabile passare a Edge per rafforzare la sicurezza.

Terzo osservato speciale di questo mese è il bug CVE-2020-24587, risalente al 2020 e descritto come una "vulnerabilità nella divulgazione di informazioni di rete wireless Windows". È potenzialmente dannoso perché potrebbe consentire a un attaccante di divulgare il contenuto dei pacchetti wireless crittografati sul sistema target. La buona notizia è che per perpetrare questo attacco è probabilmente necessaria una certa prossimità fisica alla rete target.
Ultimo ma non meno importante è il bug CVE-2021-28476 relativo all'esecuzione di codice in modalità remota in Hyper-V. Ha un punteggio CVSSv3 di 9.9, ma è classificato come "Sfruttamento poco probabile" perché il probabile scenario di sfruttamento per questo difetto comporterebbe una condizione DoS (Denial of Service). Solo in alcuni casi l'RCE è possibile, qualora una macchina virtuale guest dovesse causare la lettura del kernel dell'host Hyper-V da un indirizzo arbitrario.

La posta elettronica

Microsoft ha anche chiuso quattro vulnerabilità relative alla piattaforma di posta elettronica aziendale Exchange Server. Al contrario delle gravi falle chiuse in precedenza, a questo giro non ci sono bug di natura critica. Tuttavia, le ultime notizie lasciano intendere che i cyber criminali stanno ancora passando al setaccio Exchange Server alla ricerca di ulteriori falle, quindi l'attenzione è massima e gli aggiornamenti dovrebbero essere considerati prioritari.
Le correzioni di questo mese sono identificate dalle sigle CVE-2021-31198, CVE-2021-31207, CVE-2021-31209 e CVE-2021-31195. Hanno impatto su Microsoft Exchange Server 2013, 2016 e 2019 e sono tutte classificati come "Sfruttamento poco probabile", con punteggi CVSSv3 compresi fra 6.5 e 7.8. CVE-2021-31209 è una vulnerabilità di server spoofing, CVE-2021-31195 e CVE-2021-31198 sono entrambe vulnerabilità RCE, ma la seconda è indicata solo come vettore di attacco locale. In entrambi i casi è necessaria l'interazione dell'utente per consentirne lo sfruttamento.

Delle falle in questione, solo la CVE-2021-31207 è stata divulgata pubblicamente. Si tratta di un problema di bypass delle funzionalità di sicurezza a cui è associato un punteggio CVSSv3 di 6.6 e non risulta essere stato attivamente sfruttato.

Microsoft sta inoltre introducendo nuove funzionalità di protezione nei server Exchange, che permetteranno agli amministratori di convalidare le informazioni sulla versione dei server Exchange. Il team di Exchange di Microsoft ha pubblicato un post sul blog che evidenzia questa novità.