129 vulnerabilità corrette, di cui 23 critiche, 105 importanti e una di gravità moderata. È questo il bilancio della tornata di aggiornamenti che Microsoft ha pubblicato come da tradizione nel secondo martedì del mese. Il bug più insidioso a cui è stato posto rimedio riguarda Microsoft Exchange. Altre vulnerabilità interessano Windows, il browser Edge, Internet Explorer, SQL Server, Office, Microsoft Dynamics, Visual Studio, Exchange Server, ASP.NET, OneDrive e Azure DevOps.

La buona notizia è che nessuna delle vulnerabilità corrette era pubblicamente nota e nessuna è stata sfruttata in precedenza per sferrare attacchi. È quindi importante dare corso all'installazione degli aggiornamenti (se non è automatica) per mantenersi al sicuro.

Partiamo dalla vulnerabilità più grave, identificata dalla sigla CVE-2020-16875. È legata al danneggiamento della memoria di Microsoft Exchange: un cyber criminale potrebbe sfruttarla inviando un messaggio di posta elettronica a un server di Exchange vulnerabile. Se l'exploit allegato avesse successo, renderebbe possibile l'installazione di programmi, la visualizzazione, modifica o cancellazione di dati e la creazione di nuovi account utente. 

In passato bug analoghi sono stati sfruttati dai criminali informatici non appena diffuse le patch, e secondo Dustin Childs di Trend Micro accadrà lo stesso anche con questa vulnerabilità. È quindi è quindi fondamentale procedere al più presto all'installazione delle correzioni.

Share Point e Windows

Share Point nelle versioni dalla 2010 alla 2019 è lo sfortunato protagonista di sette vulnerabilità critiche di esecuzione di codice in modalità remota. Cinque di queste (CVE-2020-1200, CVE-2020-1210, CVE-2020-1452, CVE-2020-1453 e CVE-2020-1576) sono dovute all'incapacità di SharePoint di controllare l'origine delle applicazioni caricate nel server. Sfruttandole, gli attaccanti potrebbero eseguire codice dannoso sul server stesso. Dato che SharePoint è spesso installato su reti aziendali di grandi dimensioni, tutte le patch che lo riguardano sono importanti.

Destano preoccupazione anche i due bug critici (CVE-2020-1129 e CVE-2020-1319) di esecuzione di codice remoto che riguardano la libreria codec di Windows. In entrambi i casi i cyber criminali potrebbero creare una immagine dannosa e usarla per compromettere il sistema. Per comprendere la portata del problema fate mente locale sul numero di immagini che avete condiviso via Slack, Zoom e posta elettronica. Lavorando in smart working è inevitabile farlo, ma i cyber criminali potrebbero sfruttare proprio questa abitudine per colpire l'azienda. Le correzioni pubblicate da Microsoft modificano il modo in cui la libreria codec gestisce gli oggetti in memoria, ripristinando la sicurezza del sistema.

Browser

Durante il lockdown abbiamo assistito all'incremento delle minacce via web. Sono un pericolo oggettivo, e ad agevolarle c'è la vulnerabilità CVE-2020-0878. Si tratta di un bug di danneggiamento della memoria nei browser Microsoft, che riguarda il modo in cui Microsoft Edge e Internet Explorer accedono agli oggetti in memoria. Se un utente accedesse a un sito progettato per sfruttare il bug, potrebbe cedere dati sensibili. Non solo: se l'utente è connesso con diritti amministrativi, l'attaccante potrebbe assumere il controllo del sistema. Fortunatamente non basta la sola visualizzazione della pagina web: la vittima dovrebbe intraprendere un'azione che porti all'apertura di un file malevolo. 
Un'altra correzione a cui bisognerebbe dare la priorità e quella per la vulnerabilità CVE-2020-0922 che riguarda il modello COM (Common Object Model), ossia il framework di base dei servizi Microsoft come ad esempio ActiveX, OLE, DirectX e Shell di Windows. Può consentire a un cyber criminale di eseguire codice dannoso su un dispositivo di destinazione.

Il funzionamento è sempre lo stesso: l'attaccante deve convincere la vittima ad aprire un file infetto o a visitare un sito Web che ospita JavaScript dannoso, tipicamente tramite email di phishing. In assenza della patch, l'attaccante potrebbe individuare le vulnerabilità di una rete e sfruttarle per un attacco successivo.