Nel Patch Tuesday di aprile 2022 Microsoft ha pubblicato 128 patch correggendo un totale di 145 CVE relative a vulnerabilità di sicurezza in Windows, Defender, Edge, Exchange Server, Office, SharePoint, server DNS, Windows Print Spooler e altri software. 10 delle 128 vulnerabilità corrette sono classificate come critiche, 115 sono classificate come importanti e tre sono di gravità moderata.

L’allerta è alta per una falla zero-day di escalation dei privilegi in Windows Common Log File System Driver, monitorata con la sigla CVE-2022-24521. Il punteggio CSSV di 7.8 non è elevato, ma il bug è già oggetto di sfruttamento attivo, per questo è stato segnalato dalla National Security Agency. Zero Day Inititive ha sottolineato che questa vulnerabilità consente solo un'escalation dei privilegi, quindi è molto probabile che gli attaccanti la sfruttino in abbinamento a un bug separato di code execution.

L’ammonimento è chiaro: al momento l’exploit funzionante è impiegato per sferrare attacchi mirati, quindi non è ancora ampiamente disponibile, ma lo diverrà presto: installando subito la patch si potranno anticipare gli attacchi attesi a breve.

La seconda falla zero-day dell’ultima tornata di update è quella monitorata con la sigla CVE-2022-26904, a cui è assegnato un punteggio CVSS di 7.0. Riguarda un caso di escalation dei privilegi nel servizio profili utente di Windows. A tale proposito il ricercatore di Trend Micro Dustin Childs ha fatto notare che oltre a un exploit proof-of-concept capace di sfruttare questa falla, esiste anche un modulo Metasploit già pronto. Questo significa che la maggior parte del lavoro è già stato fatto, quindi gli aspiranti attaccanti non dovranno sforzarsi molto per sfruttare questa falla.

Le altre falle

Fra le patch pubblicate dalla casa di Redmond ci sono anche 10 vulnerabilità critiche, tra cui due che secondi ZDI potrebbero essere abusate come worm. Si tratta di un bug RCE nella libreria di runtime RPC (monitorato con la sigla CVE-2022-26809) e un altro difetto RCE in Windows Network File System (monitorato con le sigle CVE-2022-24491/24497).

Il primo ha un punteggio CVSS di 9.8, quindi è relativamente facile da sfruttare, infatti non è richiesta alcuna interazione da parte dell'utente. Può consentire a un attaccante remoto di eseguire codice con privilegi elevati su un sistema target. Questi due fattori fanno sì che la vulnerabilità possa definirsi wormable. La buona notizia è che la porta statica che dovrebbe essere impiegata nell’attacco (TCP 135) è in genere bloccata sul perimetro della rete. La cattiva notizia è che lo sfruttamento della falla potrebbe essere funzionale all’esecuzione di movimenti laterali.

Le due falle di Windows Network File System (NFS) hanno anch’esse un punteggio CVSS di 9.8 e ci si aspetta che verranno presto abusate. Nei sistemi in cui è abilitato NFS, un threat actor potrebbe eseguire il proprio codice con privilegi elevati su un sistema target e senza l'interazione dell'utente.

Cambiamenti in vista

Dato che il ritardo nell’applicazione delle patch compromette troppo spesso la sicurezza di sistemi e reti, e che gli appelli a una gestione puntuale del patching vanno spesso a vuoto, Microsoft ha deciso di correre ai ripari.

A partire da luglio 2022 sarà attiva una nuova funzionalità chiamata AutoPatch, che consentirà alle aziende di applicare le patch di sicurezza in modo tempestivo. Windows AutoPatch garantirà che i prodotti Windows e Office sugli endpoint registrati vengano aggiornati automaticamente, aiutando gli amministratori a gestire facilmente gli aggiornamenti mensili della sicurezza. Il servizio coprirà gli aggiornamenti del Patch Tuesday e quelli straordinari, e sarà disponibile per i clienti con licenze Windows 10 e 11 Enterprise E3 senza costi aggiuntivi.

Dato che uno dei motivi del patching tardivo è che le aziende dedicano del tempo a testare le patch all'interno del proprio ambiente per garantire che gli aggiornamenti funzionino con i dispositivi e le applicazioni installate prima di distribuirli, AutoPatch distribuirà gli aggiornamenti gradualmente, partendo da un anello di test (test ring) e procedendo per step.

Dopo il test ring, infatti, gli update saranno installati sull’1% dei dispositivi gestiti, in assenza di problemi si passerà al 9% dei sistemi gestiti, e solo a quel punto, se tutto procede senza intoppi, raggiungerà il restante 90% degli endpoint. Fra uno step e il successivo è previsto un periodo di tempo per accertarsi che gli aggiornamenti non generino problemi. In caso di problemi, il team IT aziendale potrà intervenire rimuovendo l'aggiornamento problematico prima che raggiunga tutti i sistemi.

È inoltre prevista una funzione Halt, in cui gli aggiornamenti non possono procedere allo step successivo fino a quando non verranno raggiunti specifici obiettivi di stabilità. E una funzionalità Rollback, in cui gli aggiornamenti possono essere annullati se gli obiettivi prestazionali non vengono raggiunti o se si verificano problemi. Infine, la funzionalità Selectivity permette agli amministratori IT di scegliere solo alcune parti del pacchetto di aggiornamenti da distribuire.

Il servizio monitora le prestazioni dei dispositivi per bilanciare velocità ed efficienza, oltre che per ottimizzare la produttività. Gli amministratori IT possono visualizzare i dettagli sulle pianificazioni e lo stato degli aggiornamenti tramite un centro di reporting e messaggistica centralizzato.