Gli aggiornamenti Microsoft del Patch Tuesday di marzo 2021 affrontano complessivamente 89 vulnerabilità, di cui 14 classificate come critiche e 75 con un livello di gravità indicato come importante.
Tra gli aggiornamenti di questo mese sono presenti anche quelli che correggono cinque vulnerabilità già precedentemente divulgate e attivamente sfruttate in natura.
Quattro delle falle attivamente sfruttate (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065), identificate in Microsoft Exchange, sono già state corrette come parte di una patch di emergenza rilasciata all’inizio di questo mese ma inserite comunque nel Patch Tuesday di questo mese che corregge altre tre vulnerabilità sui server di posta elettronica che al momento non risultato sotto attacco attivo.
La quinta vulnerabilità attivamente sfruttata dai cyber criminali è stata invece identificata nei browser Internet Explorer e Microsoft Edge (CVE-2021-26411): secondo i ricercatori Microsoft, sarebbe disponibile online anche un Proof-of-concept (PoC) che mostra come realizzare l’exploit.
Gli aggiornamenti interessano le varie versioni dei sistemi operativi Windows e del relativo software:
- Microsoft Windows
- Azure e Azure DevOps
- Azure Sphere
- Microsoft Internet Explorer ed Edge (EdgeHTML)
- Microsoft Exchange Server
- Microsoft Office e Office Services e Web Apps
- SharePoint Server
- Visual Studio
- Windows Hyper-V
Indice degli argomenti
I dettagli dello zero-day in Edge e Internet Explorer
La vulnerabilità (CVE-2021-26411) identificata nei browser Edge e Internet Explorer riguarda un difetto di corruzione della memoria e potrebbe consentire l’esecuzione di codice da remoto sui sistemi interessati nel momento in cui le vittime dovessero essere indotte a visualizzare un file HTML malevolo appositamente realizzato.
Questo difetto di sicurezza non è ovviamente impattante come quelli identificati in Microsoft Exchange, ma la diffusione di Internet Explorer e di Edge soprattutto in ambito aziendale suggerisce di installare il prima possibile l’aggiornamento.
Un eventuale sfruttamento della vulnerabilità, infatti, consentirebbe l’esecuzione di codice arbitrario con i privilegi dell’utente corrente ed è dunque importante ricordarsi di non navigare mai le pagine web utilizzando un account con privilegi amministrativi.
La vulnerabilità, individuata ad inizio febbraio dagli analisti della società di sicurezza sudcoreana Enki, sarebbe stata utilizzata in alcune campagne di attacco condotte da attori state sponsored che hanno preso di mira i ricercatori di sicurezza.
Corretta anche una falla nel kernel di Windows
Con il Patch Tuesday di marzo 2021, Microsoft ha corretto anche un’altra vulnerabilità (CVE-2021-27077) identificata nel driver Win32k per la quale esiste già un PoC, ma che al momento non sembra essere stata sfruttata attivamente dai cyber criminali.
Un attaccante locale potrebbe sfruttare la vulnerabilità (di tipo EoP, Elevation of Privilege) per ottenere privilegi elevati e, di conseguenza, prendere il controllo del sistema target.
Attacchi ProxyLogon di Microsoft Exchange: installiamo le patch
Come dicevamo, la scorsa settimana Microsoft ha rilasciato aggiornamenti di sicurezza “out-of-band” per le vulnerabilità, rinominate ProxyLogon, già attivamente utilizzate da attori criminali in tutto il mondo per compromettere i server Microsoft Exchange.
Lunedì scorso, ad esempio, l’Autorità bancaria europea ha rivelato un cyber attacco portato a termine proprio sfruttando un exploit delle falle di Microsoft Exchange. E le ultime stime parlano di oltre 60.000 attacchi andati già a buon fine, buona parte dei quali hanno colpito aziende di piccole e medie dimensioni.
Da quello che si sa finora, i cyber criminali starebbero sfruttando queste vulnerabilità sui server Outlook on the Web (OWA) pubblicamente accessibili per installare web shell e altro malware.
Oltre alle quattro vulnerabilità zero-day in Exchange già sfruttate attivamente e tutte di tipo RCE (Remote Code Execution):
- CVE-2021-26854
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
con il patch Tuesday di marzo Microsoft ha anche rilasciato anche le patch per altre tre vulnerabilità sempre identificate in Exchange ma finora non sfruttate in attacchi:
- CVE-2021-26412
- CVE-2021-27065
- CVE-2021-27078
Inoltre, Microsoft ha rilasciato uno script PowerShell chiamato Test-ProxyLogon.ps1 che consente agli amministratori di sistema di controllare gli indicatori di compromissione (IoC) nei log di Exchange e negli eventi di Windows Application.
Infine, ha anche aggiornato Microsoft Defender per rilevare le web shell e altri IoC associati a questi attacchi.
Aggiornamenti Microsoft marzo 2021: ecco come installarli
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di febbraio 2021, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
Tutti i dettagli relativi a queste e alle altre vulnerabilità corrette con gli aggiornamenti Microsoft del Patch Tuesday di marzo 2021 sono disponibili sulla pagina ufficiale del supporto Microsoft.
