Sono in tutto 50 le vulnerabilità che Microsoft ha chiuso nel tradizionale appuntamento mensile del Patch Tuesday. Di queste, 5 sono bug critici, 45 sono segnalati come importanti. Di questi ultimi, sei sono attivamente sfruttati dai cyber criminali, il che fa comprendere come un punteggio CSSV basso non sia una valutazione sufficiente per dare la giusta priorità all'update. L'attenzione è quindi puntata sulle vulnerabilità zero day sfruttate attivamente, che elenchiamo di seguito.

CVE-2021-33742 riguarda un difetto RCE nella piattaforma MSHTML di Windows, un componente utilizzato dal motore Internet Explorer per leggere e visualizzare contenuti da siti Web. Dato che la libreria viene utilizzata da altri servizi e applicazioni, per sfruttare questa falla è sufficiente che gli attaccanti inviino delle email di phishing con file HTLM.

CVE-2021-31201 e CVE-2021-31199 sono due vulnerabilità Microsoft enhanced cryptographic provider elevation of privilege collegate a un bug RCE di Adobe Reader corretto il mese scorso. Sono state sfruttate tramite l'invio alle potenziali vittime di file PDF infetti.

CVE-2021-31955 è una vulnerabilità legata alla divulgazione delle informazioni sul kernel di Windows, mentre CVE-2021-31956  è una vulnerabilità legata all'elevazione dei privilegi di Windows NTFS. Sono entrambe state scoperte e segnalate dai ricercatori di Kaspersky Lab ed erano alla base di una serie di attacchi altamente mirati contro diverse aziende, che utilizzano una catena di exploit zero day di Google Chrome e Microsoft Windows.
Uno degli exploit è stato utilizzato per l’esecuzione di codice da remoto nel browser Chrome, mentre l'altro era un exploit che consentiva di elevare i privilegi, messo a punto per colpire le ultime e più importanti build di Windows 10.

CVE-2021-33739 è una vulnerabilità zero day di escalation dei privilegi nella libreria principale di Microsoft Desktop Window Manager (DWM). Questa falla è singolare perché sembra avere un legame con altre due falle di escalation dei privilegi che Microsoft ha chiuso a febbraio 2021 (CVE-2021-1732) e aprile 2021 (CVE-2021-28310). Si ritiene che fossero collegate a un attore di minacce noto come BITTER APT.

Dato che CVE-2021-33739 è stata scoperta dagli stessi ricercatori che hanno rilevato la CVE-2021-1732, e che si trova nella stessa libreria di CVE-2021-28310, è possibile che siamo di fronte a un altro zero day sfruttato dallo stesso gruppo criminale.

Ultima patch che meriterebbe la priorità nell'installazione è quella per la vulnerabilità CVE-2021-31962, una falla di bypass delle funzionalità di protezione AppContainer Kerberos.

Adobe, Intel e SAP

Oltre a Microsoft, anche Adobe e Intel hanno rilasciato diverse correzioni. Adobe ha pubblicato 10 aggiornamenti della sicurezza relativi a 39 CVE che riguardano Adobe Connect, Acrobat Reader, Photoshop, Experience Manager, Creative Cloud (app desktop), RoboHelp Server, Photoshop Elements, Premiere Elements, After Effects e Animate. Fra tutti, sono prioritari quelli che riguardano due bug critici di Acrobat Reader, perché se venissero sfruttati potrebbero consentire l'esecuzione di codice arbitrario all'apertura di un file PDF appositamente realizzato.

Intel ha rilasciato una lunga lista di patch di sicurezza, di cui nessuna è critica. SAP ha invece fissato una vulnerabilità di autenticazione impropria in SAP NetWeaver AS ABAP e ABAP Platform, che può essere utilizzata per bypassare la protezione dalle chiamate esterne.