Sono 87 le vulnerabilità chiuse da Microsoft con il Patch Tuesday di ottobre. Di queste, 21 sono difetti di esecuzione del codice remoto (RCE), a cui i responsabili della cyber security dovrebbero dare alta priorità. Il numero delle correzioni è il più basso da febbraio a questa parte, ma la casa di Redmond fa notare che i problemi critici risolti a ottobre sono superiori a quelli di altri mesi, quindi è caldeggiata l'installazione delle patch.

11 vulnerabilità sono classificate come Critiche, 75 sono di livello Importante e solo una è di Moderata in gravità. i prodotti chiamati in causa sono Windows, Office e Office Services and Web Apps, Visual Studio, Azure, .NET Framework, Microsoft Dynamics, Software Open Source, Exchange Server e la libreria dei codec di Windows.

La buona notizia è che finora i cyber criminali non hanno sfruttato alcuna delle vulnerabilità che sono state corrette ieri. Però non bisogna abbassare la guardia, perché almeno sei bug erano già di pubblico dominio, quindi i cyber criminali potrebbero essere in dirittura d'arrivo con gli exploit.

Vulnerabilità RCE

I riflettori sono puntati sulla vulnerabilità CVE-2020-16898. Si tratta di un difetto critico di Remote Code Execution (RCE) inerente lo stack TCP/IP di Windows. In alcuni casi gestisce in modo improprio i pacchetti ICMPv6 Router Advertisement. ICMPv6 è una parte fondamentale del protocollo IPv6; esegue funzioni di diagnostica e di segnalazione degli errori. Spesso viene implementato quando qualcuno emette il comando ping da un terminale o da un prompt dei comandi.
Sfruttando il bug in questione, un cyber criminale potrebbe eseguire codice su un server o su un client. Il bug ha un punteggio CVSS di 9.8 su 10 e secondo Microsoft è probabile che venga presto sfruttato. Per approfittare della vulnerabilità, un utente malintenzionato dovrebbe inviare pacchetti di annuncio router ICMPv6 appositamente predisposti a un computer Windows remoto. La patch di oggi corregge il modo in cui lo stack TCP/IP di Windows gestisce i pacchetti ICMPv6 Router Advertisement.

Un'altra patch a cui bisogna prestare attenzione è la CVE-2020-16899, che rimedia a un difetto di negazione del servizio che si verifica quando lo stack TCP/IP di Windows gestisce in modo improprio i pacchetti ICMPv6 Router Advertisement. Un attaccante potrebbe sfruttare questa falla per mettere fuori uso un sistema, ma non potrebbe usarla per eseguire codice o fare un'escalation dei privilegi. 

Sempre in tema di RCE, è importante dare corso alla correzione CVE-2020-16947. Riguarda un bug critico nell'analisi del contenuto HTML nelle email in Microsoft Outlook incluso in Microsoft 2016 e 2019 e in Microsoft 365.

Per fruttare questa vulnerabilità, un attaccante dovrebbe aprire un file appositamente predisposto in una versione vulnerabile di Outlook. Dovrebbe quindi spedire il file alla vittima con una email di phishing ben fatta che convinca l'utente ad aprire l'allegato. Agendo via web, invece, dovrebbe caricare il file malevolo su un sito web appositamente progettato per sfruttare la vulnerabilità.