Partch Tuesday più ricco di sempre: chiuse 129 falle fra cui SMBleed

129 vulnerabilità vengono risolte con gli aggiornamenti diffusi da Microsoft nel Patch Tuesday di giugno. Ecco le più rilevanti.

Business Consumer Tecnologie/Scenari
Il Patch Tuesday di giugno, pubblicato questa notte, è il più ricco della storia. Microsoft ha chiuso 129 vulnerabilità, fra cui la nuova SMBv3 soprannominata SMBleed. Gli aggiornamenti di sicurezza di questo mese sono riassunti nella pagina ufficiale. Sono comprese le patch per Windows, Edge, ChakraCore, Internet Explorer, Office, Office Services e Web Apps, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps e Adobe Flash Player.

Di seguito ci concentriamo sugli aggiornamenti di maggiore criticità e interesse, ricordando che è importante installare gli update il prima possibile.
routerLe prime criticità su cui è bene mettere l'attenzione sono CVE-2020-1226 e CVE-2020-1225. Sono entrambe vulnerabilità che consentono l'esecuzione di codice remoto in Microsoft Excel. Sfruttandole, i cyber criminali potrebbero eseguire arbitrariamente codice da remoto con le stesse autorizzazioni dell'utente legittimo. È una delle falle più sfruttate dalle numerose campagne di phishing in corso. Usando pretesti che vanno dalle ricerche di lavoro alle informazioni sulla pandemia, gli attaccanti convincono le vittime ad aprire un file di Office malevolo per sfruttare queste vulnerabilità.

I problemi con Microsoft Server Message Block

L'altra vulnerabilità di grande interesse è la CVE-2020-1206, conosciuta anche come SMBleed. Riguarda un problema di divulgazione delle informazioni del protocollo Microsoft Server Message Block 3.1.1 (SMBv3), dovuto al modo in cui gestisce determinate richieste. Il problema di partenza è lo stesso che abbiamo descritto per SMB Ghost e colpisce sistemi Windows 10 nelle versioni 1903 e 1909.
smbleed smb vulnerabilitySMB, che viene eseguito sulla porta TCP445, è uno dei protocolli di rete per la condivisione di file, l'esplorazione della rete, i servizi di stampa e altro. La falla è dovuta dal modo in cui la funzione di decompressione in questione ("Srv2DecompressData") gestisce le richieste di messaggi appositamente predisposti, che vengono inviati a un server SMBv3. Questo permette a un cyber criminale di leggere la memoria del kernel non inizializzata e apportare modifiche alla funzione di compressione.

La vulnerabilità può essere sfruttata sia sul fronte server sia su quello client. Nel primo caso un cyber criminale deve inviare un pacchetto di dati appositamente creato al server SMBv3 di destinazione. Per agire su un client deve invece creare un server SMBv3 malevolo e convincere il client a connettersi ad esso. In entrambi i casi, se l'attacco va a buon fine, può portare alla divulgazione di informazioni o aprire le porte ad altri attacchi.

Sempre riguardo al protocollo SMB, nel Patch Tuesday di questo mese è stata corretta anche la vulnerabilità CVE-2020-1284. Riguarda la negazione del servizio client/server di Windows SMBv3 ed è una falla DoS dovuta al modo in cui il protocollo Microsoft Server Message Block 3.1.1 (SMBv3) gestisce determinate richieste. Anche qui i cyber criminali possono prendere di mira un server o un client, con la stessa tecnica descritta sopra.

Chiudiamo con i guai di SMB dando un'occhiata alla vulnerabilità CVE-2020-1301. Si tratta di una falla che chiama in causa l'esecuzione di codice remoto SMB di Windows. Per via di una vulnerabilità nel protocollo Microsoft Server Message Block 1.0 (SMBv1), un cyber criminale potrebbe eseguire codice arbitrario su un sistema vittima.

Esecuzione di codice remoto

Passiamo alla falla CVE-2020-1194, una vulnerabilità DoS dovuta all'errata gestione delle operazioni del file system da parte del Registro di sistema di Windows. Per sfruttarla, un attaccante dovrebbe accedere al sistema e lanciare un'applicazione ad hoc.
hacker 2300772 1920Un altro tema caldo è quello di Windows Shell. CVE-2020-1286 è una vulnerabilità della shell di Windows che non convalida correttamente i percorsi dei file. Un criminale informatico può sfruttarla per eseguire codice arbitrario su un host, acquisendo gli stessi privilegi dell'account legittimo. Per riuscire nell'intento è necessario che l'utente apra un file malevolo inviato via email o visiti un sito Web dannoso progettato ad hoc.

L'esecuzione di codice remoto è leitmotiv anche delle vulnerabilità CVE-2020-1208 e CVE-2020-1236 (riguardano entrambe Windows Jet e la gestione non corretta degli oggetti in memoria) e di CVE-2020-1213CVE-2020-1214CVE-2020-1215CVE-2020-1216CVE-2020-1230CVE-2020-1260.  In questi casi la gestione scorretta degli oggetti in memoria è dovuta a un problema del motore VBScript. Esistono più scenari in cui un attaccante potrebbe sfruttare questi difetti, fra cui l'accesso a un sito Web dannoso o compromesso e l'apertura di un documento di Microsoft Office malevolo.

Sempre l'esecuzione di codice remoto è alla base della falla CVE-2020-1248. Riguarda la Windows Graphics Device Interface (GDI) e il modo in cui gestisce gli oggetti in memoria. Senza la correzione appena pubblicata, potrebbe consentire a un cyber criminale di prendere il controllo di un sistema. Anche qui lo sfruttamento parte dal presupposto che la vittima apra un file dannoso o visiti un sito Web malevolo.
email phishingChiudiamo con la CVE-2020-1300,  una vulnerabilità di Microsoft Windows causata dalla gestione non corretta dei file CAB. Sfruttandola è possibile eseguire codice arbitrario sul sistema preso di mira, dopo che l'utente ha messo in atto una delle azioni indicate nelle vulnerabilità precedenti.

Come molti avranno notato, la maggior parte delle vulnerabilità si attiva mediante attacchi di phishing che portano le vittime a scaricare file dannosi o a visitare siti infetti. Il dato è in linea con gli studi che segnalano un forte incremento di queste campagne, non solo a tema coronavirus. È quindi importante, oltre che installare gli aggiornamenti, svolgere un'attività di formazione mirata all'apprendimento delle tecniche per non cadere in inganno davanti ai messaggi di posta elettronica di dubbia provenienza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori