In occasione del Patch Tuesday di luglio 2020, Microsoft ha rilasciato gli aggiornamenti per 123 vulnerabilità, di cui 18 critiche. Tra queste, è stata corretta anche una pericolosa vulnerabilità denominata SIGRed di tipo wormable che, come già successo in passato col famigerato ransomware WannaCry, potrebbe consentire ad un malware di diffondersi rapidamente da un sistema all’altro via rete e senza alcuna interazione da parte dell’utente.
Le vulnerabilità scoperte e corrette con gli aggiornamenti Microsoft di luglio 2020 riguardano varie versioni di sistemi operativi Windows e prodotti correlati:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based) in modalità Internet Explorer
- Microsoft ChakraCore
- Internet Explorer
- Microsoft Office e Microsoft Office Services and Web Apps
- Windows Defender
- Skype for Business
- Visual Studio
- Microsoft OneDrive
- Open Source Software
- .Net Framework
- Azure DevOps
È dunque importante installare il prima possibile questi aggiornamenti per proteggere Windows dai rischi di sicurezza noti.
Indice degli argomenti
SIGRed: ecco i dettagli della grave vulnerabilità wormable
Come dicevamo, tra gli aggiornamenti del Patch Tuesday di luglio 2020 è presente anche quello che corregge la vulnerabilità critica denominata SIGRed e identificata come CVE-2020-1350.
Classificata con un indice di gravità massimo pari a 10,0 sul Common Vulnerability Scoring System (CVSS), la falla di sicurezza è stata individuata dai ricercatori di Check Point Software Technologies nel Domain Name System (DNS) di Windows, l’implementazione dei servizi DNS forniti da Microsoft nei propri sistemi operativi.
La vulnerabilità RCE (Remote Code Execution), vecchia di 17 anni, interessa le versioni Server di Windows del periodo 2003-2019 e potrebbe essere sfruttata da un eventuale attaccante mediante codice malevolo per ottenere i privilegi di amministratore di dominio e compromettere così l’intera infrastruttura di rete aziendale.
La sua gravità risiede nel fatto che, essendo come dicevamo di tipo “wormable”, consente la diffusione del malware tra computer connessi e vulnerabili senza alcuna interazione da parte dell’utente. Questa caratteristica lo colloca nella stessa categoria di rischio di EternalBlue in Server Message Block (SMB) e BlueKeep in Remote Desktop Protocol (RDP).
Il DNS, lo ricordiamo, può essere considerato come la rubrica telefonica di Internet e consente ai client di connettersi ai server per accedere alle risorse di rete. Si tratta quindi di un modello che mappa i nomi di dominio in base agli indirizzi IP per consentire una connessione al server corretto.
Quando si dispone di un nome di dominio – ad esempio www.miodominio.com – si controlla a quale numero quel nome si collega, tramite un record DNS. Questi server sono presenti in ogni organizzazione e, se sfruttati, darebbero a un hacker i privilegi admin di dominio sul server consentendogli di intercettare e manipolare le e-mail degli utenti e il traffico di rete, rendere i servizi non disponibili, raccogliere le credenziali degli utenti e altro ancora.
In questo modo, i criminal hacker potrebbero acquisire il controllo completo di un’azienda IT.
I ricercatori di sicurezza di Check Point hanno anche scoperto che un criminal hacker in grado di sfruttare la vulnerabilità SIGRed non deve necessariamente trovarsi sulla stessa rete del server DNS target dell’attacco, poiché i dati DNS possono essere trasportati su una connessione TCP, supportata dal DNS di Windows.
Inoltre, poiché il server DNS di Windows supporta le funzioni Connection Reuse e Pipelining, un aggressore potrebbe lanciare diverse query DNS su una connessione TCP senza dover attendere una risposta.
SIGRed, una falla contagiosa: installiamo subito la patch
La vulnerabilità SIGRed è stata scoperta lo scorso Il 19 maggio 2020 dalla divisione Threat Intelligence di Check Point, che ha comunicato in modo responsabile i risultati della ricerca a Microsoft.
“Una violazione del server DNS è una cosa molto seria. La maggior parte delle volte, proietta l’aggressore a un passo dal violare l’intera azienda. Sono pochissimi i tipi di vulnerabilità di questo tipo. Ogni impresa, grande o piccola, che utilizzi un’infrastruttura Microsoft, è esposta a grandi rischi a livello di sicurezza, se lasciata senza patch. Il rischio maggiore sarebbe una completa violazione dell’intera rete aziendale. Questa tipologia di vulnerabilità è presente nel codice Microsoft da più di 17 anni; quindi, se l’abbiamo trovata noi, non è impossibile supporre che qualcun altro l’abbia già trovata”, ha dichiarato David Gubiani, Regional Director SE EMEA Southern di Check Point.
È dunque necessario applicare la patch il più presto possibile per fermare un’altra eventuale pandemia, questa volta di tipo informatico. Per farlo, è sufficiente completare questi semplici passaggi:
- applicare la patch Microsoft disponibile nel Patch Tuesday di luglio 2020;
- utilizzare un fornitore di terze parti per proteggere l’infrastruttura IT aziendale;
- utilizzare il seguente workaround per bloccare l’attacco:
- avviare il Prompt dei comandi, digitare CMD e premere Invio;
- digitare il comando reg add “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS.
I dettagli delle altre vulnerabilità critiche
Tra le altre vulnerabilità degne di nota corrette con il Patch Tuesday di luglio 2020, se ne segnalano due critiche nel motore Microsoft Edge e VBScript che potrebbero consentire a un aggressore di eseguire codice arbitrario da remoto inducendo un utente a visitare un sito web realizzato in modo malevolo.
- CVE-2020-1436: vulnerabilità critica di tipo RCE in Windows Font Library;
- CVE-2020-1435: vulnerabilità critica di tipo RCE in GDI+.
Qualora venissero sfruttate con successo, queste vulnerabilità potrebbero consentire ad un aggressore di eseguire comandi sul computer con gli stessi privilegi dell’utente.
Le seguenti quattro vulnerabilità critiche richiedono, invece, che l’aggressore induca l’utente a scaricare file dannosi appositamente creati e potrebbero quindi essere utilizzate in attacchi di tipo phishing o via web:
- CVE-2020-1409: vulnerabilità critica di tipo RCE nel modulo DirectWrite;
- CVE-2020-1349: vulnerabilità critica di tipo RCE in Microsoft Outlook;
- CVE-2020-1410: vulnerabilità critica di tipo RCE nella rubrica di Windows;
- CVE-2020-1421 vulnerabilità critica di tipo RCE nella gestione dei file .LNK.
Tutti i dettagli sulle altre vulnerabilità corrette con il Patch Tuesday di luglio 2020 possono essere consultati direttamente sul portale Microsoft.
Aggiornamenti Microsoft luglio 2020: ecco come installarli
Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di luglio 2020, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
