È stato rilasciato il Patch Tuesday di gennaio 2022 contenente gli aggiornamenti di sicurezza Microsoft che affrontano 97 vulnerabilità: di queste, nove sono classificate con un indice di gravità critico e sei sono di tipo zero-day (cioè pubblicamente divulgate o attivamente sfruttate senza una correzione ufficiale disponibile).
Nel dettaglio, le vulnerabilità sono così classificate:
- 41 sono di tipo EoP (Elevation of Privilege);
- 9 sono di bypass delle funzioni di sicurezza;
- 29 sono di tipo RCE (Remote Code Execution);
- 6 di tipo ID (Information Disclosure);
- 9 di tipo Denial of Service;
- 3 di tipo spoofing.
Tra gli aggiornamenti di sicurezza c’è anche quello per una vulnerabilità critica RCE di tipo wormable (tracciata come CVE-2022-21907, con indice di gravità CVSS pari a 9.8) che, se sfruttata, potrebbe consentire ai malware di diffondersi autonomamente tra i computer connessi alla stessa rete, configurando uno scenario di attacco simile a quello del famigerato ransomware WannaCry.
Gli aggiornamenti presenti nel Patch Tuesday di gennaio 2022 interessano una vasta gamma di prodotti Microsoft, tra cui:
- Windows e diverse componenti del sistema operativo;
- Microsoft Edge (basato su Chromium);
- Exchange Server;
- Microsoft Office;
- SharePoint Server;
- .NET Framework;
- Microsoft Dynamics;
- Software Open-Source;
- Windows Hyper-V;
- Windows Defender;
- Windows Remote Desktop Protocol (RDP).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli della vulnerabilità wormable
Come dicevamo, tra i bug critici corretti da Microsoft con il Patch Tuesday di gennaio 2022 quello che desta maggiore preoccupazione riguarda un problema di esecuzione remota di codice nello stack del protocollo HTTP e, in particolare, nel file di sistema http.sys che sta alla base del funzionamento del server web IIS (Internet Information Services), installabile sia sulle versioni Server di Windows sia nelle versioni client.
La vulnerabilità, infatti, è di tipo wormable e ciò significa che un eventuale exploit potrebbe auto-propagarsi all’interno di una rete locale senza richiedere alcuna interazione da parte dell’utente.
Secondo quanto si legge nel bollettino di sicurezza pubblicato da Microsoft, la CVE-2022-21907 potrebbe essere sfruttata inviando pacchetti appositamente creati ad un sistema che utilizza lo stack del protocollo HTTP (http.sys) per elaborarli.
Inoltre, la vulnerabilità potrebbe essere sfruttata in attacchi a bassa complessità funzionanti nella maggior parte delle situazioni e senza richiedere alcuna interazione da parte dell’utente.
La vulnerabilità impatta sulle ultime versioni desktop e server di Windows, tra cui Windows 11 e Windows Server 2022. Al momento, però, non risulta ancora alcuno sfruttamento attivo né tantomeno sono stati divulgati pubblicamente i dettagli tecnici.
Aggiornamenti Microsoft gennaio 2022: come installarli
È dunque importante procedere quanto prima all’aggiornamento dei propri sistemi per correggere sia la vulnerabilità wormable appena descritta sia tutte le altre che comunque li espongono a un elevato rischio di attacco informatico.
Come sappiamo, Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di gennaio 2022, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
