Sono 108 le vulnerabilità corrette questo mese in occasione del Patch Tuesday di aprile 2021, il pacchetto cumulativo di aggiornamenti appena pubblicato da Microsoft: tra queste, 19 sono classificate come critiche e 89 come importanti.
In particolare, sono state corrette cinque vulnerabilità zero-day di cui una già sfruttata attivamente in attacchi informatici (CVE-2021-28310): identificata nel driver Win32k, può consentire agli aggressori di elevare i propri privilegi di accesso sul sistema target per eseguire codice dannoso e prendere il controllo della macchina.
Inoltre, su segnalazione della NSA (la National Security Agency americana), sono state corrette altre quattro pericolose vulnerabilità nei server Exchange che si vanno ad aggiungere alle altre già corrette con il Patch Tuesday di marzo 2021 e conosciute come ProxyLogon.
Gli aggiornamenti interessano le varie versioni dei sistemi operativi Windows e del relativo software:
- Microsoft Windows
- Azure e Azure DevOps
- Azure Sphere
- Microsoft Edge (EdgeHTML)
- Microsoft Exchange Server
- Microsoft Office e Office Services e Web Apps
- SharePoint Server
- Visual Studio
- Windows Hyper-V
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
Come dicevamo, con il Patch Tuesday di aprile 2021 Microsoft ha corretto quattro vulnerabilità critiche già rese pubbliche ma al momento non correlate ad alcun attacco informatico e una che invece risulta essere già sfruttata attivamente.
In particolare, le prime quattro riguardano i seguenti moduli del sistema operativo:
- CVE-2021-27091: vulnerabilità di tipo EoP (Elevation of Privilege) in RPC Endpoint Mapper Service
- CVE-2021-28312: vulnerabilità di tipo DoS (Denial of Service) in Windows NTFS
- CVE-2021-28437: vulnerabilità di tipo ID (Information Disclosure) in Windows Installer – PolarBear
- CVE-2021-28458: vulnerabilità di tipo EoP in Azure ms-rest-nodeauth Library
La vulnerabilità già sfruttata attivamente è stata invece identificata dal ricercatore Boris Larin dei Kaspersky Labs:
- CVE-2021-28310: vulnerabilità di tipo EoP nel driver Win32k
In particolare, il difetto di sicurezza nel kernel Windows sarebbe stato sfruttato dal gruppo criminale APT Bitter e probabilmente utilizzato insieme ad altri exploit dei browser per sfuggire alle sandbox o ottenere privilegi di sistema per ulteriori accessi.
Le nuove vulnerabilità nei server Microsoft Exchange
Continuano, invece, i problemi di sicurezza per i server Microsoft Exchange on-premise: dopo le vulnerabilità ProxyLogon corrette con gli aggiornamenti cumulativi di marzo, sono state infatti identificate altre quattro vulnerabilità RCE (Remote Code Execution, esecuzione remota di codice), di cui due di tipo pre-authentication, cioè che non richiedono agli attaccanti di accedere prima al server per poterle sfruttare.
Nessuna di queste vulnerabilità, scoperte dall’agenzia per la sicurezza nazionale americana NSA, è nota per essere stata attivamente sfruttata e sono tracciate con i seguenti CVE:
Le vulnerabilità interessano le seguenti versioni del prodotto:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Tutte le informazioni tecniche sulle vulnerabilità dei server Exchange sono disponibili sulla pagina dedicata del sito Microsoft.
L’FBI interviene per rimuovere le backdoor in Microsoft Exchange
Nel contesto dei problemi di sicurezza identificati nei server Microsoft Exchange, da segnalare l’azione intrapresa direttamente dall’FBI che, con un intervento mirato e mai visto prima, è intervenuta direttamente da remoto sui computer delle vittime per rimuovere le web shell impiantate dai criminal hacker per lo sfruttamento delle vulnerabilità ProxyLogon.
In particolare, l’agenzia governativa americana è intervenuta in maniera mirata per rimuovere le web shell installate dal gruppo criminale Hafnium che avrebbero potuto essere utilizzate per mantenere e aumentare l’accesso persistente e non autorizzato alle reti degli Stati Uniti.
“L’FBI ha condotto la rimozione inviando un comando attraverso la web shell al server, che è stato progettato per indurre il server stesso a cancellare solo la shell (identificata dal suo percorso unico del file)”, si legge nel comunicato stampa rilasciato dal Dipartimento di Giustizia che ha dettagliato l’operazione autorizzata ovviamente dalle autorità.
Nello stesso comunicato si legge, inoltre, che l’azione dell’FBI non ha applicato alcuna altra patch ai sistemi sottostanti né ha rimosso alcun altro malware aggiuntivo.
Aggiornamenti Microsoft aprile 2021: come installarli
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di aprile 2021, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
Tutti i dettagli relativi a queste e alle altre vulnerabilità corrette con gli aggiornamenti Microsoft del Patch Tuesday di aprile 2021 sono disponibili sulla pagina ufficiale del supporto Microsoft.
