Sono 50 le vulnerabilità affrontate e corrette da Microsoft con gli aggiornamenti del Patch Tuesday di giugno 2021: di queste, 5 sono classificate come critiche e 45 come importanti in termini di gravità. Nel relativo bollettino di sicurezza, Microsoft ha confermato che sei di queste vulnerabilità di tipo zero-day sono attualmente sotto attacco attivo e tre sono state già rese pubbliche, anche se non ha fornito ulteriori dettagli tecnici.
Ricordiamo, infatti, che già dallo scorso mese di novembre 2020, Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software. In questo modo, però, ha di fatto rimosso alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting.
Gli aggiornamenti Microsoft di giugno 2021 compresi nel nuovo Patch Tuesday interessano le seguenti versioni dei sistemi operativi Windows e del relativo software:
- Microsoft Windows
- NET Core e Visual Studio
- Microsoft Office
- Microsoft Edge (basato su Chromium e EdgeHTML)
- SharePoint Server
- Hyper-V
- Visual Studio Code – Kubernetes Tools
- Windows HTML Platform
- Windows Remote Desktop
Indice degli argomenti
Aggiornamenti Microsoft: i dettagli delle vulnerabilità zero-day
Le sei vulnerabilità zero-day che vengono attivamente sfruttate in attacchi reali sono le seguenti:
- CVE-2021-33742 (punteggio CVSS: 7.5): vulnerabilità di esecuzione di codice remoto della piattaforma MSHTML di Windows, un componente utilizzato dal motore di rendering di Internet Explorer per leggere e visualizzare il contenuto dei siti web
- CVE-2021-33739 (punteggio CVSS: 8.4): vulnerabilità di tipo Elevation of Privilege (EoP) in Microsoft DWM Core Library
- CVE-2021-31199 (punteggio CVSS: 5.2): vulnerabilità di tipo Elevation of Privilege (EoP) in Microsoft Enhanced Cryptographic Provider
- CVE-2021-31201 (punteggio CVSS: 5.2): vulnerabilità di tipo Elevation of Privilege (EoP) in Microsoft Enhanced Cryptographic Provider
- CVE-2021-31955 (punteggio CVSS: 5.5): vulnerabilità di tipo Information Disclosure (ID) nel kernel Windows
- CVE-2021-31956 (punteggio CVSS: 7.8): vulnerabilità di tipo Elevation of Privilege (EoP) in Windows NTFS
Come dicevamo, Microsoft non ha rivelato né la natura degli attacchi né la loro diffusione o l’identità degli attori della minaccia. Tenendo conto del fatto che quattro delle sei vulnerabilità consentono agli attaccanti di ottenere privilegi elevati, è però facile supporre che gli attacchi sono mirati a prendere il pieno controllo dei sistemi target, eseguire codice dannoso o esfiltrare informazioni sensibili.
Cosa sappiamo degli attacchi PuzzleMaker
In particolare, secondo i ricercatori di sicurezza Kaspersky, le due vulnerabilità CVE-2021-31955, CVE-2021-31956 sarebbero state utilizzate negli ultimi mesi in numerosi attacchi altamente mirati contro diverse aziende che hanno permesso ai cyber criminali di compromettere le reti prese di mira senza essere rilevati.
Gli attacchi, identificati come PuzzleMaker, sarebbero stati condotti attraverso Chrome usando la vulnerabilità CVE-2021-21224, ora patchata, legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser.
L’exploit ha permesso agli attaccanti di sfruttare il processo di rendering di Chrome (responsabile di ciò che accade all’interno delle tab di navigazione degli utenti) per portare a termine la catena infettiva.
I dettagli delle altre vulnerabilità critiche
Oltre alle sei vulnerabilità zero-day appena analizzate, è importante segnalarne anche altre due, entrambe di tipo RCE (Remote Code Execution) e che quindi potrebbero consentire ad un attaccante di eseguire codice da remoto sulla macchina target.
La prima, identificata come CVE-2021-31985 e classificata come critica, è stata individuata in Windows Defender, il tool antimalware integrato in Windows. Ricordiamo che già con il Patch Tuesday di gennaio 2021 Defender era stato aggiornato per correggere una vulnerabilità sfruttata in the wild.
L’altra vulnerabilità critica, identificata come CVE-2021-31963, è stata invece isolata in Microsoft SharePoint Server. Se sfruttata positivamente, potrebbe consentire ad un attaccante di prendere il controllo di un sistema, installare programmi, visualizzare e modificare i dati o creare nuovi account con pieni diritti utente.
Aggiornamenti Microsoft giugno 2021: come installarli
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di giugno 2021, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
Tutti i dettagli relativi a queste e alle altre vulnerabilità corrette con gli aggiornamenti Microsoft del Patch Tuesday di giugno 2021 sono disponibili sulla pagina ufficiale del supporto Microsoft.
