Urgente aggiornare Windows, Office, Edge: così l’update di agosto ci protegge dagli attacchi

Microsoft ha rilasciato aggiornamenti di sicurezza molto importanti ad agosto: per tutte le versioni supportate del sistema operativo Windows, client e server, nonché altri prodotti aziendali come Microsoft Office nel Patch Day di agosto 2020.

Gli aggiornamenti di Windows sono di natura cumulativa e vengono forniti tramite Windows Update, WSUS e altri sistemi di gestione degli aggiornamenti e come download diretti sul sito Web del catalogo Microsoft Update.

La nostra panoramica elenca gli aggiornamenti rilasciati dal supporto Microsoft, i collegamenti per il download diretto per scaricare rapidamente gli aggiornamenti principali, l’elenco dei problemi noti, gli avvisi di sicurezza pubblicati da Microsoft e un pratico foglio di calcolo Excel con i dati su tutti gli aggiornamenti rilasciati.

È possibile scaricare il seguente foglio di calcolo Excel che contiene i dati del Patch Day di agosto 2020. Basta fare clic su Security Updates per scaricare l’archivio sul sistema: Security-Updates-August-2020-Windows.

Sintesi degli aggiornamenti di agosto

Microsoft ha rilasciato aggiornamenti di sicurezza per tutte le versioni client e server supportate del sistema operativo Windows dell’azienda.

Gli aggiornamenti di sicurezza sono disponibili anche per i seguenti prodotti non Windows:

• Microsoft Edge classic e Chromium,
• Internet Explorer,
• SQL Server,
• Microsoft JET Database Engine,
• .NET Framework,
• NET Core,
• Microsoft Office,
• Microsoft Windows Codecs Library,
• Microsoft Dynamics,

Microsoft ha rilasciato un totale di 261 diverse patch che possono essere scaricate. Diamo un’occhiata alle principali vulnerabilità che sono state corrette relative ai sistemi operativi:

• Windows 7 (solo supporto esteso): 52 vulnerabilità: 4 critiche e 48 importanti
  1. CVE-2020-1339 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Windows Media
  2. CVE-2020-1379 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  3. CVE-2020-1477 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  4. CVE-2020-1554 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• Windows 8.1: 56 vulnerabilità: 5 classificate come critiche e 51 come importanti
  1. CVE-2020-1339 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Windows Media
  2. CVE-2020-1379 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  3. CVE-2020-1477 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  4. CVE-2020-1492 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  5. CVE-2020-1554 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• Windows 10 versione 1803: 80 vulnerabilità: 8 critiche e 72 importanti
  1. CVE-2020-1339 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Windows Media
  2. CVE-2020-1379 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  3. CVE-2020-1477 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  4. CVE-2020-1492 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  5. CVE-2020-1525 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  6. CVE-2020-1554 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  7. CVE-2020-1560 | Vulnerabilità legata all’esecuzione di codice in modalità remota nella libreria dei codec di Microsoft Windows
  8. CVE-2020-1585 | Vulnerabilità legata all’esecuzione di codice in modalità remota nella libreria dei codec di Microsoft Windows
• Windows 10 versione 1809: 84 vulnerabilità: 8 critiche e 76 importanti
  1. stesse vulnerabilità critiche di Windows 10 versione 1803
• Windows 10 versione 1903: 85 vulnerabilità: 8 critiche e 76 importanti
  1. stesse vulnerabilità critiche di Windows 10 versione 1803
• Windows 10 versione 1909:
  1. stesse vulnerabilità critiche di Windows 10 versione 1803, più
  2. CVE-2020-1574 | Vulnerabilità legata all’esecuzione di codice in modalità remota nella libreria dei codec di Microsoft Windows

Prodotti Windows Server

• Windows Server 2008 R2 (solo supporto esteso): 41 vulnerabilità: 5 critiche e 36 importanti
• CVE-2020-1339 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Windows Media
• CVE-2020-1379 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• CVE-2020-1472 | Vulnerabilità legata all’elevazione dei privilegi di Netlogon
• CVE-2020-1477 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  1. CVE-2020-1554 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• Windows Server 2012 R2: 46 vulnerabilità: 6 critiche e 40 importanti.
  1. uguale a Windows Server 2008 R2, più
  2. CVE-2020-1492 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• Windows Server 2016: 63 vulnerabilità: 7 critiche e 56 importanti.
  1. CVE-2020-1339 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Windows Media
  2. CVE-2020-1379 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  3. CVE-2020-1472 | Vulnerabilità legata all’elevazione dei privilegi di Netlogon
  4. CVE-2020-1477 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  5. CVE-2020-1492 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  6. CVE-2020-1525 | Vulnerabilità al danneggiamento della memoria di Media Foundation
  7. CVE-2020-1554 | Vulnerabilità al danneggiamento della memoria di Media Foundation
• Windows Server 2019: 70 vulnerabilità: 7 critiche e 63 importanti
  2016. uguale a Windows Server 2016.

Di tutte queste vulnerabilità vorrei concentrarmi su quattro, la CVE-2020-1464 e la CVE-2020-1380 perché sono sotto attacco attivo, cioè utilizzando un exploit in cui un hacker apporta modifiche ai dati sulla destinazione o ai dati durante il trasporto verso la destinazione, la CVE-2020-1337 perché corregge una patch precedente (CVE-2020-1048) per un difetto di sicurezza che consentiva agli aggressori di ottenere una backdoor che persisteva anche dopo l’aggiornamento di una macchina e la CVE-2020-1472 perché apre le porte all’intera organizzazione Active Directory aziendale.

CVE-2020-1464

Questa vulnerabilità è presente in tutte le versioni supportate di Windows, inclusi Windows 10 e Server 2019. La CVE-2020-1464 è una vulnerabilità di spoofing della firma Authenticode di Windows. Gli hacker che la sfruttano possono inserire il loro malware su sistemi mirati aggirando le difese che utilizzano le firme digitali per controllare che il software sia affidabile.

Authenticode è la tecnologia di firma del codice interna di Microsoft, questa tecnologia dovrebbe garantire che un programma o un driver provenga da una fonte nota e affidabile e non sia stato manomesso da nessun altro. Poiché modificano il kernel del sistema operativo, i driver possono essere installati su Windows 10 e Server 2019 solo quando portano una di queste firme crittografiche.

Normalmente gli hacker per sfruttare questo vettore e aggirare la protezione e dovevano rubare un certificato valido e firmare con esso il malware, il worm che si ritiene abbia preso di mira il programma nucleare iraniano dieci anni fa è stata una delle prime volte in cui questa tattica è stata utilizzata.

CVE-2020-1464 ha consentito agli hacker di ottenere lo stesso bypass senza il dover rubare un certificato valido o preoccuparsi che potesse essere revocato.

Microsoft in genere attribuisce ai ricercatori che hanno segnalato difetti risolti, ma la pagina di riconoscimento di Microsoft per l’aggiornamento di questo mese non fa alcuna menzione di CVE-2020-1464. Un rappresentante Microsoft ha detto che la scoperta è stata fatta internamente attraverso una ricerca condotta presso Microsoft.

CVE-2020-1380

L’altro zero-day è il CVE-2020-1380 con il quale si può installare malware su tutti i PC che utilizzano Internet Explorer è la navigazione.

Il NSA che ha scoperto questa vulnerabilità è Sophos, secondo la quale la CVE-2020-1380 deriva da una classe di bug use-after-free che consente agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso. La vulnerabilità risiede nel compilatore just-in-time del motore JavaScript di IE.

Un modo in cui gli aggressori possono sfruttare il difetto è inserire del codice su un sito web visitato dal bersaglio. Un altro metodo consiste nell’incorporare un controllo ActiveX dannoso in un’applicazione o in un documento di Microsoft Office che utilizza il motore di rendering di IE. Nonostante sia dannoso, Windows mostrerà che il controllo ActiveX è “sicuro per l’inizializzazione”.

CVE-2020-1337

La terza patch che abbiamo preso in esame va a risolvere la vulnerabilità CVE-2020-1337. Prima di analizzarla vogliamo porre l’attenzione sul fatto che questa patch va a fixare una vecchia patch uscita maggio la CVE-2020-1048.

La patch di maggio avrebbe dovuto correggere una vulnerabilità di escalation dei privilegi nello spooler di stampa di Windows, un servizio che gestisce il processo di stampa, inclusa l’individuazione dei driver della stampante, il loro caricamento e la pianificazione dei lavori di stampa.

In breve, il difetto ha consentito a un utente malintenzionato con la capacità di eseguire codice con privilegi ridotti di aprire una backdoor sui computer vulnerabili. L’attaccate ha così la possibilità di tornare in qualsiasi momento in possesso della macchina ed avere i diritti di amministratore.

Meno di due settimane dopo che Microsoft ha rilasciato la patch, un ricercatore con l’handle math1as ha inviato un rapporto al servizio di bug bounty Zero Day Initiative che mostrava che l’aggiornamento non era riuscito a correggere la vulnerabilità. La scoperta ha richiesto a Microsoft di sviluppare una nuova patch. Il risultato è quello che è stato rilasciato l’11 di agosto.

CVE-2020-1472

Zero Day Initiative di Trend Micro punta a un’altra correzione – CVE-2020-1472 – che comporta un problema critico nelle versioni di Windows Server che potrebbe consentire a un utente malintenzionato non autenticato di ottenere l’accesso amministrativo a un controller di dominio Windows ed eseguire un’applicazione di sua scelta. Un controller di dominio è un server che risponde alle richieste di autenticazione della sicurezza in un ambiente Windows e un controller di dominio compromesso può fornire agli aggressori le chiavi del regno all’interno di una rete aziendale.

Conclusione

In tutto, l’aggiornamento d’agosto di Microsoft ha corretto quasi tre dozzine di vulnerabilità classificate critiche e molte altre con valutazioni inferiori. Entro un giorno circa dal rilascio, Windows Update scarica automaticamente le patch e le installa quando il computer non è in uso.

Tenete presente che, rimanere aggiornati sulle patch di Windows è un must ma è importante assicurarsi di eseguire l’aggiornamento solo dopo aver fatto il backup dei dati e dei file importanti.

In effetti, alcuni riportano instabilità di sistema dopo l’ultimo aggiornamento.

Un backup affidabile significa che ci si mette al sicuro nel caso in cui patch possa causare problemi all’avvio del sistema.

Quindi fate il backup dei file prima di installare qualsiasi patch. Windows 10 ha anche alcuni strumenti integrati per aiutarvi a farlo, sia per file / cartella che per creare una copia completa e avviabile del disco rigido tutto in una volta.