Sono 59 le vulnerabilità corrette da Microsoft con i nuovi aggiornamenti di sicurezza del suo Patch Tuesday di ottobre. Di queste, 9 sono classificate come critiche, 49 hanno un livello di gravità elevato, 1 è di gravità moderata.
A differenza degli ultimi pacchetti di aggiornamenti cumulativi, nessuna delle vulnerabilità di sicurezza corrette questo mese viene elencata come nota pubblicamente o utilizzata attivamente in attacchi reali.
Se sfruttate con successo, comunque, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto da parte di un eventuale attaccante.
Nel suo complesso, il nuovo Microsoft Patch Tuesday risolve diversi bug nei seguenti prodotti:
- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- ChakraCore
- Microsoft Office e Microsoft Office Services and Web Apps
- SQL Server Management Studio
- Open Source Software
- Microsoft Dynamics 365
- Windows Update Assistant
In concomitanza del Patch Tuesday di ottobre Microsoft ha rilasciato l’Aggiornamento cumulativo di ottobre 2019 per Windows 10 versione 1903 che, una volta installato, consentirà di aggiornare la build del sistema operativo alla 18362.418. Disponibili anche gli Aggiornamenti di ottobre 2019 per Microsoft Office.
Microsoft ha inoltre pubblicato un promemoria per gli utenti di Windows 7 e Windows Server 2008 R2 per ricordare loro che il supporto esteso per questi due sistemi operativi sta per terminare e che non riceveranno più aggiornamenti a partire dal prossimo 14 gennaio 2020.
Indice degli argomenti
Aggiornamenti di sicurezza Microsoft: le vulnerabilità critiche
Delle 9 vulnerabilità critiche corrette, ben 8 di queste sono di tipo RCE (Remote Code Execution). Eccole nel dettaglio:
- CVE-2019-1333: è una vulnerabilità di esecuzione remota dei servizi di desktop remoto (RDP) simile alla famigerata BlueKeep che in passato a consentito ai criminal hacker di compromettere centinaia di milioni di computer Windows in tutto il mondo. A differenza di questa, però, la nuova vulnerabilità può essere sfruttata solo con l’interazione dell’utente. In particolare, un attaccante che ha il controllo di un server dannoso potrebbe convincere la vittima a connettersi ad esso sfruttando tecniche di social engineering o un attacco man-in-the-middle. In alternativa, l’attaccante potrebbe compromettere un server legittimo copiando su di esso codice dannoso e attendere che la vittima si connetta. In entrambi i casi, lo sfruttamento della vulnerabilità potrebbe consentire all’attaccante di eseguire in remoto codice sul computer della vittima.
- CVE-2019-1307, CVE-2019-1308, CVE-2019-1335 e CVE-2019-1366: tutte e quattro le vulnerabilità interessano il motore di scripting Chakra integrato nel browser Web Microsoft Edge. Un attaccante potrebbe utilizzare questi bug per corrompere la memoria sul computer della vittima in modo da consentire l’esecuzione remota di codice arbitrario. Perché ciò accada, è sufficiente che la vittima visiti un sito Web dannoso appositamente predisposto utilizzando il browser Microsoft Edge. Delle quattro vulnerabilità, solo la CVE-2019-1335 è classificata con un livello di pericolosità moderato.
- CVE-2019-1238 e CVE-2019-1239: entrambe le vulnerabilità riguardano il modo in cui il motore di scripting VBScript gestisce gli oggetti in memoria. Se sfruttate con successo, le vulnerabilità causano una corruzione della memoria consentendo ad un criminal hacker di eseguire codice arbitrario sulla macchina vittima. Per sfruttare queste vulnerabilità, l’attaccante deve indurre la vittima a visitare un sito Web malevolo usando Internet Explorer. In alternativa, lo sfruttamento delle vulnerabilità può avvenire mediante un controllo ActiveX contrassegnato come “sicuro per l’inizializzazione” e integrato in un’applicazione o in un documento di Microsoft Office che utilizza il motore di rendering di Internet Explorer.
- CVE-2019-1060: si tratta di una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft XML Core Services. Al momento, però, Microsoft non ha fornito ulteriori dettagli su un suo eventuale sfruttamento positivo da parte dei criminal hacker.
- CVE-2019-1372: interessa lo Stack di Azure e si verifica quando il servizio app di Azure non riesce a controllare correttamente la lunghezza di un buffer prima di copiarvi la memoria. Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire codice malevolo sul computer della vittima nel contesto dei privilegi NT AUTHORITY / system, riuscendo quindi a sfuggire anche ad una eventuale sandbox.
I dettagli di tutte le altre patch rilasciate da Microsoft nel pacchetto di aggiornamenti di settembre possono essere consultati direttamente sul portale Microsoft.
Aggiornamenti di sicurezza Windows: ecco come installarli
Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità di aggiornamenti, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
