Microsoft ha rilasciato il Patch Tuesday del mese di agosto 2021 contenente gli aggiornamenti di sicurezza che correggono un totale di 44 vulnerabilità tra cui tre difetti zero-day. Di questi, uno è stato identificato nel componente Windows Update Medic Service e, come confermato dalla stessa Microsoft, risulta essere già attivamente sfruttato in natura.
Dei 44 problemi di sicurezza (51 se si considerano anche quelli individuati e corretti in agosto in Microsoft Edge) affrontati nel Patch Tuesday di agosto 2021:
- 7 sono valutati critici, il che significa che possono essere sfruttate da malware o malintenzionati per prendere il controllo remoto su un sistema vulnerabile senza alcun aiuto (o minimo) da parte degli utenti;
- 37 sono valutati importanti, e quindi un loro eventuale sfruttamento potrebbe comportare la compromissione della riservatezza, integrità o disponibilità dei dati dell’utente, o dell’integrità o disponibilità delle risorse di elaborazione.
Gli aggiornamenti riguardano diversi prodotti Microsoft, tra cui:
- Windows
- .NET Core & Visual Studio
- Azure
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Scripting Engine
- Microsoft Windows Codecs Library
- Remote Desktop Client
Un’altra curiosità riguarda il numero di aggiornamenti contenuti nel pacchetto cumulativo di agosto 2021: il Patch Tuesday di questo mese è infatti il più “piccolo” da dicembre 2019.
Indice degli argomenti
Una patch per il modulo di gestione delle patch
La vulnerabilità zero-day già sfruttata attivamente in natura è stata identificata come CVE-2021-36948 con punteggio CVSS di 7.8 e colpisce sistemi Windows 10 e Windows Server 2019.
Di tipo EoP (Elevation of Privilege), interessa il componente Windows Update Medic Service, un nuovo servizio che consente la riparazione e la protezione dei componenti di Windows Update in modo che il dispositivo possa continuare a ricevere aggiornamenti.
Se sfruttata in combinazione con un’altra vulnerabilità, la nuova zero-day potrebbe consentire di ottenere un’elevazione dei privilegi utente ed eseguire programmi dannosi sulla macchina target.
È importante sottolineare che le vulnerabilità di escalation dei privilegi come la CVE-2021-36948 rappresentano la pietra angolare delle intrusioni moderne in quanto consentono agli aggressori di ottenere un livello di accesso tale da riuscire a compiere azioni malevoli come nascondere le loro tracce e creare account utente. Attività che, nel caso di attacchi ransomware, garantiscono agli attaccanti di causare il massimo danno possibile sulle macchine attaccate.
La falla di sicurezza è stata individuata dal Threat Intelligence Center di Microsoft, che però si è astenuto dal condividere ulteriori specifiche o dettagli su quanto diffusi fossero questi attacchi alla luce dei tentativi di sfruttamento attivi.
Ricordiamo, infatti, che dal mese di novembre 2020 Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software. In questo modo, però, ha di fatto rimosso alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting.
Ancora vulnerabilità nello spooler di stampa
Con il Patch Tuesday di agosto 2021 Microsoft ha affrontato anche una vasta classe di debolezze nello spooler di stampa di Windows.
Già il mese scorso, come sappiamo, era stato rilasciato un aggiornamento straordinario per correggere il bug noto come PrintNightmare, anch’esso sfruttato attivamente in natura. La patch, però, non è bastata a risolvere il problema, tant’è che alcuni ricercatori sono riusciti a bypassare i sistemi di protezione e sfruttare comunque il bug. Questo ha obbligato la Microsoft a rilasciare ulteriori aggiornamenti che ora dovrebbero aver finalmente risolto il problema di sicurezza.
Il Patch Tuesday di agosto 2021 corregge però un altro difetto critico di Print Spooler (CVE-2021-36936), il terzo in questo mese dopo CVE-2021-36947 (punteggio CVSS di 8.2) e CVE-2021-34483 (punteggio CVSS di 7.8).
La nuova vulnerabilità è anch’essa di tipo EoP (Elevation of Privilege), ma non è chiaro se questo bug è una variante di PrintNightmare o una nuova vulnerabilità.
Secondo quanto riportato nel relativo bollettino di sicurezza, sono richiesti bassi privilegi per sfruttare questa vulnerabilità che quindi potrebbe essere classificata come “non-wormable”, sebbene sia comunque indicata come critica, per cui è importante correggerla tempestivamente.
Ricordiamo, per completezza di informazione, che questo mese Microsoft ha rilasciato anche un altro aggiornamento di sicurezza per risolvere una vulnerabilità di tipo RCE (Remote Code Execution) sempre nel servizio Print Spooler tracciata come CVE-2021-34481 (punteggio CVSS: 8.8).
Una volta installato, l’aggiornamento cambia il comportamento predefinito della funzione “Point and Print”, impedendo che utenti non amministratori possano installare o aggiornare i driver di stampa nuovi ed esistenti. Questo dovrebbe scongiurare, finalmente, la possibilità di sfruttare vulnerabilità come la PrintNightmare.
Un bug critico anche nel componete TCP/IP
Un’altra vulnerabilità critica corretta con gli aggiornamenti di sicurezza Microsoft del Patch Tuesday di agosto 2021 è stata identificata anche nel componente TCP/IP di Windows.
Identificata come CVE-2021-26424, la vulnerabilità ha ottenuto un punteggio CVSS di 9.9 (10 è il peggiore), ed è presente nelle versioni di Windows dalla 7 (che non è più supportata con aggiornamenti di sicurezza) fino alla 10 e di Windows Server dalla 2008 fino alla 2019.
Secondo quanto riferito da Microsoft, al momento nessuno starebbe sfruttando questo bug a cui però è stata assegnata l’etichetta di “sfruttamento probabile”: ciò significa che potrebbe non essere difficile da capire per gli attaccanti.
La vulnerabilità potrebbe essere sfruttata inviando un singolo pacchetto di dati dannosi a un sistema vulnerabile.
Tutti i dettagli relativi a questa e alle altre vulnerabilità corrette con gli aggiornamenti Microsoft del Patch Tuesday di agosto 2021 sono disponibili sulla pagina ufficiale del supporto Microsoft.
Aggiornamenti Microsoft agosto 2021: come installarli
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di agosto 2021, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.