Microsoft ha pubblicato il Patch Tuesday di dicembre 2020, il consueto pacchetto cumulativo di aggiornamenti che, questo mese, correggono 58 vulnerabilità individuate nelle varie versioni del sistema operativo e in alcune applicazioni.
Di queste vulnerabilità, 9 sono classificate come critiche, 46 con un grado di gravità importante e 3 come moderate.
La stessa Microsoft fa sapere che, fortunatamente, nessuna delle vulnerabilità corrette era stata finora pubblicata o utilizzata in attacchi reali.
Gli aggiornamenti interessano le varie versioni dei sistemi operativi Windows e del relativo software:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge per Android
- ChakraCore
- Microsoft Office e Microsoft Office Services and Web Apps
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere
Ricordiamo che, già dallo scorso mese, Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software. In questo modo, però, ha di fatto rimosso alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting.
Indice degli argomenti
Aggiornamenti Microsoft dicembre 2020: i dettagli delle vulnerabilità
Tra le vulnerabilità critiche, da segnalarne tre che interessano Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 e CVE-2020-17142) e che potrebbero consentire l’esecuzione remota di codice (RCE, Remote Code Execution).
La più pericolosa di queste vulnerabilità si verifica a causa di una validazione impropria degli argomenti passati al comando cmdlet (un comando usato in ambiente PowerShell che esegue un’azione e in genere restituisce un oggetto Microsoft .NET al comando successivo nella pipeline).
Nel relativo bollettino di sicurezza, Microsoft non fornisce alcun dettaglio su un possibile scenario di attacco indicando solo che, per sfruttare positivamente la vulnerabilità, l’attaccante dovrebbe essere autenticato con privilegi elevati. Qualora si verificasse questa condizione e l’attaccante riuscisse quindi a compromettere una singola casella di posta elettronica, allora potrebbe prendere il pieno controllo di tutto il server Exchange.
Nel pacchetto di aggiornamenti cumulativi di dicembre 2020, Microsoft ha rilasciato un’altra patch per Exchange, identificata come CVE-2020-17132: più precisamente, si tratta di un “patch bypass” per la vulnerabilità CVE-2020-16875 già segnalata e corretta con il Patch Tuesday di settembre.
Un’altra vulnerabilità critica, identificata come CVE-2020-17095 e classificata con il più alto punteggio CVSS di 8,5 tra tutte le vulnerabilità affrontate nel Patch Tuesday di questo mese, riguarda il software di virtualizzazione Hyper-V.
Nel bollettino di sicurezza si legge che, per sfruttare questa vulnerabilità, un aggressore dovrebbe eseguire un’applicazione appositamente creata su un guest Hyper-V. Ciò potrebbe causare l’esecuzione di codice arbitrario da parte del sistema operativo host Hyper-V quando non riesce a convalidare correttamente i dati dei pacchetti vSMB.
Attacchi di DNS poisoning: il consiglio per mitigare il rischio
In aggiunta al Patch Tuesday di dicembre 2020, Microsoft ha pubblicato anche un bollettino di sicurezza per una vulnerabilità di DNS poisoning (CVE-2020-25705) scoperta il mese scorso dai ricercatori di sicurezza dell’Università di Tsinghua e dell’Università della California.
L’exploiting della vulnerabilità potrebbe consentire un attacco soprannominato Side-channel AttackeD DNS attack (o attacco SAD DNS) durante il quale un aggressore potrebbe spoofare il pacchetto DNS, che può essere messo in cache dal DNS Forwarder o dal DNS Resolver, abilitando così nuovamente gli attacchi di avvelenamento della cache DNS.
Al momento, non è stata rilasciata alcuna patch per questa vulnerabilità. Per mitigare il rischio di attacco, Microsoft raccomanda di effettuare un workaround del registro di configurazione di Windows: in particolare, viene suggerito di modificare la dimensione massima del pacchetto UDP portandolo a 1.221 byte (4C5 in valore esadecimale).
Aggiornamenti Microsoft dicembre 2020: ecco come installarli
Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di novembre 2020, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
I dettagli su tutte gli aggiornamenti di sicurezza contenuti nel Patch Tuesday di novembre 2020 sono disponibili sulla pagina ufficiale Microsoft.
