Sono 71 le vulnerabilità in Windows e in altri prodotti Microsoft corrette in occasione del rilascio del Patch Tuesday di marzo 2022. Gli aggiornamenti, in particolare, riguardano:
- Windows
- Azure Site Recovery
- Microsoft Defender for Endpoint and IoT
- Intune
- Edge (versione basata su Chromium)
- Windows HTML Platforms
- Microsoft Office
- Skype
- .NET e Visual Studio
- Windows RDP
- SMB Server
Dei 71 problemi di sicurezza affrontati con il Patch Tuesday del mese di marzo 2022, 3 sono classificati come critici (cioè possono essere sfruttati per compromettere un PC Windows da remoto con una limitata o senza interazione da parte degli utenti) e 68 come importanti. Nel pacchetto cumulativo di aggiornamenti sono state affrontate anche tre vulnerabilità zero-day già divulgate pubblicamente ma che, al momento, non sembra siano state sfruttate in attacchi reali.
Nel dettaglio, le vulnerabilità sono così classificate:
- 25 vulnerabilità sono di tipo EoP (Elevation of Privilege);
- 3 sono le vulnerabilità di bypass delle funzioni di sicurezza;
- 29 sono di tipo RCE (Remote Code Execution);
- 6 di tipo ID (Information Disclosure);
- 4 di tipo Denial of Service;
- 4 di tipo spoofing.
Questo mese, inoltre, Microsoft ha affrontato anche 21 vulnerabilità identificate nel browser Edge basato su Chromium.
Secondo lo CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (80/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle vulnerabilità critiche
Come dicevamo, il Patch Tuesday di marzo 2022 affronta tre vulnerabilità critiche che potrebbero portare tutte all’esecuzione remota di codice, permettendo così a un attaccante di prendere il controllo del sistema target:
- CVE-2022-22006: ha impatto sulle estensioni video HEVC (valutazione CVSS di 7.8 su 10.0)
- CVE-2022-24501: ha impatto sulle estensioni video VP9 (valutazione CVSS di 7.8 su 10.0)
- CVE-2022-23277: ha impatto su Microsoft Exchange Server (valutazione CVSS di 8.8 su 10.0)
Ricordiamo che le estensioni HEVC (proprietaria) e VP9 (aperta e priva di royalty) sono standard di codifica per la compressione video in Windows che consentono di riprodurre filmati ad alta risoluzione.
Come si legge nel bollettino di sicurezza rilasciato da Microsoft, per sfruttare i bug delle estensioni video HEVC e VP9 un attaccante dovrebbe ricorrere ad attività di ingegneria sociale per convincere una vittima a scaricare e aprire un file appositamente creato la cui esecuzione potrebbe portare un crash del sistema target.
La vulnerabilità in Microsoft Exchange è invece di tipo post-autenticazione: ciò significa che, per poterla sfruttare, gli attaccanti devono prima ottenere credenziali di accesso al server, ad esempio mediante campagne di phishing o altri stratagemmi di social engineering.
Che c’è da sapere sulle vulnerabilità zero-day
Il Patch Tuesday di marzo 2022 corregge anche tre vulnerabilità zero-day già divulgate pubblicamente ma non ancora sfruttate in attacchi reali:
- CVE-2022-21990: vulnerabilità identificata in Remote Desktop Client (punteggio CVSS di 8.8)
- CVE-2022-24512: vulnerabilità in .NET e Visual Studio (punteggio CVSS di 6.3)
- CVE-2022-24459: vulnerabilità in Windows Fax e Scan Service (punteggio CVSS di 7.8)
Mentre le prima due sono di tipo RCE e consentono, quindi, l’esecuzione di codice da remoto, la terza è di tipo EoP e consente quindi a un attaccante di ottenere un’elevazione dei propri privilegi utente.
In particolare, la CVE-2022-21990 presenta un profilo di criticità sebbene non abbia lo stesso livello di pericolosità degli attacchi RDP lato server (come la famigerata vulnerabilità BlueKeep, ad esempio).
Per sfruttarla, un attaccante dovrebbe fare in modo che un client RDP esposto si colleghi a un server RDP malevolo controllato dall’attaccante stesso che così potrebbe innescare l’esecuzione del codice sul client mirato.
In questo senso, la superficie di attacco potrebbe essere particolarmente estesa in considerazione della massiccia diffusione del lavoro a distanza e quindi dell’utilizzo diffuso delle connessioni RDP.
E sebbene lo sfruttamento della vulnerabilità non è banale, la sua correzione dovrebbe essere prioritaria in considerazione del fatto che la compromissione del protocollo RDP è uno dei vettori di infezione preferito dai criminal hacker per portare a termine attacchi di tipo ransomware.
Aggiornamenti Microsoft marzo 2022: come installarli
Alla luce dell’analisi delle vulnerabilità critiche corrette dal Patch Tuesday di marzo 2022 è importante procedere quanto prima all’aggiornamento dei propri sistemi per non esporli a un elevato rischio di attacco informatico.
Come sappiamo, Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di marzi 2022, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
