Microsoft ha rilasciato il Patch Tuesday del mese di settembre 2021 contenente gli aggiornamenti di sicurezza che correggono un totale di 60 vulnerabilità tra cui due pericolose zero-day.
Una di queste, in particolare, era stata già segnalata con uno specifico bollettino di sicurezza pubblicato da Microsoft lo scorso 7 settembre. Tracciata come CVE-2021-40444 e già attivamente sfruttata, colpisce il motore di rendering di Internet Explorer e consente di prendere il controllo dei sistemi Windows vulnerabili sfruttando documenti Office malevoli.
Dei 60 problemi di sicurezza affrontati nel Patch Tuesday di settembre 2021 (85 se si considerano anche quelli individuati e corretti fino a oggi in Microsoft Edge):
- 3 sono valutati critici, il che significa che possono essere sfruttate da malware o malintenzionati per prendere il controllo remoto su un sistema vulnerabile senza alcun aiuto (o minimo) da parte degli utenti;
- 56 sono valutati importanti, e quindi un loro eventuale sfruttamento potrebbe comportare la compromissione della riservatezza, integrità o disponibilità dei dati dell’utente, o dell’integrità o disponibilità delle risorse di elaborazione;
- 1 è valutato come un livello di gravità moderato.
Gli aggiornamenti riguardano diversi prodotti Microsoft, tra cui:
- Microsoft Edge (Chromium, iOS e Android)
- Azure
- Office e Office Components
- SharePoint Server
- Microsoft Windows DNS
- Windows Subsystem for Linux
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Corretto un pericoloso zero-day in Office 365
La più seria delle tre vulnerabilità critiche corrette con il rilascio del Patch Tuesday di settembre 2021 (identificata come CVE-2021-40444 e con punteggio CVSS di 8.8 su 10.0) è di tipo RCE (Remote Code Execution) ed è stata identificata nel componente Microsoft MSHTML (nome in codice: Trident), il motore di rendering delle pagine Web utilizzato in Internet Explorer.
Già attivamente sfruttata, la vulnerabilità colpisce Internet Explorer e consente di prendere il controllo dei sistemi Windows vulnerabili sfruttando documenti Office malevoli appositamente creati.
Come sappiamo, il browser Internet Explorer è stato ormai dismesso e Microsoft ha interrotto anche il supporto tecnico: la gravità della nuova vulnerabilità zero-day è data dal fatto che il motore di rendering Trident viene ancora adesso utilizzato anche nelle ultime versioni della suite Office per riprodurre eventuali contenuti Web all’interno di documenti Word, Excel e PowerPoint.
Gli attacchi mirati rilevati da Microsoft hanno cercato di sfruttare la vulnerabilità inviando alle potenziali vittime documenti di Office appositamente creati con controlli ActiveX dannosi.
Fortunatamente, questi attacchi sono stati contrastati su quei sistemi in cui la suite Microsoft Office aveva attiva la configurazione predefinita che consente di aprire i documenti non attendibili in modalità di visualizzazione protetta (o con Application Guard per gli utenti di Office 365).
È chiaro che la protezione integrata nulla può contro gli exploit della vulnerabilità qualora venga aggirata dagli utenti che ignorano gli avvisi di protezione.
C’è da dire, inoltre, che la protezione integrata in Office può essere bypassata dagli stessi attaccanti con un semplice stratagemma che consiste nel consegnare i documenti dannosi in bundle all’interno di archivi compressi o immagini in formato ISO.
Infatti, se il documento è all’interno di un contenitore che il browser non etichetta come proveniente dal Web (in gergo, questo meccanismo di protezione di Internet Explorer si chiama MotW, Mark of the Web), allora il fatto che il contenitore sia stato scaricato da Internet sarà irrilevante. Quindi, ad esempio, se l’utente apre l’archivio compresso 7zip, non gli verrà fornita alcuna indicazione sul fatto che il contenuto estratto proviene da Internet e di conseguenza le applicazioni della suite Office non attiveranno la modalità protetta.
La stessa cosa succede nel caso in cui il documento malevolo è contenuto all’interno di un’immagine ISO che l’utente Windows può aprire con un semplice doppio clic del mouse. Anche in questo caso, il sistema non tratta il contenuto come se provenisse da Internet e quindi, ancora una volta, il documento viene aperto bypassando il controllo della visualizzazione protetta.
Inoltre, gli attori della minaccia potrebbero sfruttare questa vulnerabilità anche utilizzando documenti di testo in formato RTF appositamente creati per i quali, come sappiamo, non è prevista la possibilità di aprirli in modalità protetta.
In tutti i casi, lo sfruttamento della vulnerabilità CVE-2021-40444 potrebbe consentire ai threat actors di scaricare ed eseguire una libreria DLL dannosa utile a installare sul computer della vittima un beacon (cioè una sorta di payload) di Cobalt Strike, uno strumento utilizzato dagli esperti di sicurezza per verificare il livello di sicurezza delle infrastrutture IT ma sempre più spesso sfruttato dai criminal hacker nei loro attacchi.
Questo beacon, in particolare, consente ad un attaccante di ottenere l’accesso remoto al dispositivo per rubare i file e diffondersi lateralmente in tutta la rete.
Aggiornamenti Microsoft settembre 2021: come installarli
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di settembre 2021, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
