Sono 55 le vulnerabilità corrette questo mese da Microsoft in occasione del rilascio del Patch Tuesday di novembre 2021: tra queste anche sei difetti zero-day di cui due già attivamente sfruttati in Excel ed Exchange Server che potrebbero essere abusati per prendere il controllo di un sistema interessato.
Nel complesso, sei vulnerabilità sono state classificate come critiche e 49 come importanti. In particolare:
- 20 vulnerabilità sono di tipo EoP (Elevation of Privilege)
- 2 sono vulnerabilità di bypass delle funzioni di sicurezza;
- 15 sono di tipo RCE (Remote Code Execution);
- 10 di tipo ID (Information Disclosure);
- 3 di tipo Denial of Service;
- 4 di tipo spoofing.
Come sempre, le 55 vulnerabilità per cui Microsoft ha rilasciato le patch hanno un impatto su una vasta gamma di prodotti dell’azienda tra cui, oltre a Windows, anche Microsoft Office, Azure, Power BI e Visual Studio.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Dettagli della vulnerabilità zero-day in Exchange Server
Una delle due vulnerabilità zero-day già attivamente sfruttate è stata tracciata come CVE-2021-42321 e riguarda Microsoft Exchange Server.
Ricordiamo che già lo scorso mese di marzo la maggior parte delle organizzazioni in tutto il mondo che utilizzano Microsoft Exchange Server sono state esposte a cyber attacchi a causa di quattro vulnerabilità zero-day rinominate ProxyLogon che hanno consentito agli attaccanti di installare backdoor e trafugare le e-mail.
Successivamente, nel mese di agosto è stata identificata e patchata la vulnerabilità CVE-2021-33766 ribattezzata ProxyToken che avrebbe potuto consentire ad un attaccante non autenticato di accedere e rubare le e-mail rivelando informazioni personali, dati aziendali sensibili e altro ancora.
Rispetto a queste vulnerabilità, però, la nuova CVE-2021-42321 ha un livello di gravità più basso in quanto richiede che l’attaccante sia già autenticato sul sistema target.
Il nuovo difetto di sicurezza in Exchange Server deriva da una convalida impropria di cmdlet – un comando che viene spesso utilizzato in ambienti PowerShell. La vulnerabilità può quindi essere sfruttata in rete, richiede bassi privilegi e nessuna interazione da parte dell’utente.
Secondo quanto si legge nel relativo bollettino di sicurezza, la vulnerabilità potrebbe avere un alto impatto sulla riservatezza dei dati, l’integrità e la disponibilità.
Microsoft, comunque, non ha fornito alcun dettaglio su come la vulnerabilità è stata utilizzata in attacchi reali.
Da segnalare, infine, che il problema di sicurezza di Exchange Server è anche uno dei bug che è stato dimostrato alla Tianfu Cup, il più importante contest di hacking tenutosi in Cina il mese scorso.
Attacco ai server Microsoft Exchange: tre lezioni (fondamentali) che dobbiamo imparare
Dettagli della vulnerabilità zero-day in Excel
È stato tracciato come CVE-2021-42292, invece, il problema di “bypass della funzione di sicurezza” che impatta le versioni 2013-2021 di Microsoft Excel e che potrebbe consentire agli aggressori di installare codice dannoso semplicemente convincendo qualcuno ad aprire un file Excel appositamente strutturato.
Secondo quanto riferito dalla stessa Microsoft, anche le versioni Mac di Office sono interessate da questa vulnerabilità, ma nel momento in cui scriviamo non sono stati resi ancora disponibili i relativi aggiornamenti di sicurezza.
Come è ormai prassi, l’avviso di sicurezza pubblicato da Microsoft non fornisce molti dettagli su cosa esattamente venga aggirato in Excel con questo difetto e su come sia stato utilizzato in attacchi reali.
La vulnerabilità potrebbe essere dovuta al caricamento di codice malevolo che, normalmente, dovrebbe essere segnalato all’utente mediante un avvertimento sull’esecuzione di contenuti esterni o script, ma che, per qualche motivo al momento ignoto, in questo caso non appare, aggirando così la funzione di sicurezza dell’applicativo Microsoft.
Aggiornamenti Microsoft novembre 2021: come installarli
Vista la gravità delle vulnerabilità appena analizzate, è importante procedere quanto prima all’aggiornamento dei propri sistemi.
Come sappiamo, Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di novembre 2021, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.