Sono 84 le vulnerabilità affrontate e corrette da Microsoft in occasione del Patch Tuesday di ottobre 2022 (che, lo ricordiamo, è anche il mese europeo della cyber security).
Tra gli aggiornamenti anche quelli per due vulnerabilità zero-day, di cui una già sfruttata in attacchi documenti ma per i quali non sono stati forniti ulteriori dettagli: ricordiamo, infatti, che dal mese di novembre 2020 Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software. In questo modo, però, ha di fatto rimosso alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting.
Come al solito, gli aggiornamenti di questo mese riguardano Windows e diversi altri componenti del sistema operativo Microsoft.
Delle 84 vulnerabilità, 15 hanno un indice di gravità critico mentre per le altre 69 l’indice di gravità è importante. I vari problemi di sicurezza sono così classificati:
- 39 sono di tipo EoP (Elevation of Privilege);
- 2 consentono il bypass delle funzioni di sicurezza;
- 20 sono di tipo RCE (Remote Code Execution);
- 11 di tipo ID (Information Disclosure);
- 8 di tipo Denial of Service
- 4 di tipo spoofing
Il CSIRT Italia, nel suo bollettino di sicurezza, ha stimato che l’impatto delle vulnerabilità corrette questo mese è alto/arancione (72,56/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
Come dicevamo, in occasione del Patch Tuesday di ottobre 2022 Microsoft ha corretto due vulnerabilità zero-day, una sfruttata attivamente in attacchi e una al momento solo divulgata pubblicamente.
Ricordiamo che Microsoft classifica come zero-day le vulnerabilità che vengono pubblicamente divulgate o attivamente sfruttate senza che sia disponibile una correzione ufficiale.
La vulnerabilità già sfruttata in attacchi reali è stata tracciata come CVE-2022-41033 con un punteggio CVSS di 7,8 su 10,0: consente una escalation locale di privilegi ed è stata identificata nel componente Windows COM+ Event System Service.
Il suo sfruttamento consente a un attaccante di ottenere privilegi a livello SYSTEM e, da quanto si legge nel bollettino di sicurezza pubblicato da Microsoft, è probabilmente collegata ad altre vulnerabilità per aumentare i privilegi ed eseguire azioni dannose sull’host infetto.
La seconda vulnerabilità zero-day già divulgata pubblicamente ma per la quale al momento non si hanno notizie di sfruttamenti in attacchi reali è stata tracciata come CVE-2022-41043 ed è di tipo Information Disclosure (divulgazione di informazioni).
Identificata in Microsoft Office potrebbe essere sfruttata dagli attaccanti per accedere ai token di autenticazione degli utenti.
Le altre vulnerabilità corrette col Patch Tuesday di ottobre
Il Patch Tuesday di ottobre 2022 corregge altre tre gravi vulnerabilità di elevazione dei privilegi:
- CVE-2022-37979, identificata in Windows Hyper-V e con punteggio CVSS di 7,8);
- CVE-2022-37976, identificata in Active Directory Certificate Services e con punteggio CVSS di 8,8;
- CVE-2022-37968, identificata in Azure Arc-enabled Kubernetes cluster Connect e con punteggio CVSS di 10,0.
La più grave è proprio quest’ultima: nonostante sia stata etichettata come “Exploitation Less Likely”, se sfruttata con successo potrebbe consentire a un attaccante di acquisire i privilegi di amministratore su un cluster Kubernetes e, potenzialmente, prenderne il pieno controllo.
Aggiornamenti Microsoft ottobre 2022: come installarli
Alla luce dell’analisi delle vulnerabilità critiche corrette dal Patch Tuesday di ottobre 2022 è importante procedere quanto prima all’aggiornamento dei propri sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di ottobre 2022, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
