Gli aggiornamenti di sicurezza di dicembre includono correzioni per vulnerabilità di esecuzione di codice nel sistema operativo Windows di punta dell’azienda e gravi problemi in Microsoft Sharepoint, Microsoft Exchange, HyperV e un bypass delle funzionalità di sicurezza Kerberos.
Microsoft ha assegnato una valutazione di gravità “critica” a nove dei 58 bollettini, mentre 46 sono classificati come “importanti”. Nessuno dei bug documentati è sotto attacco attivo e Microsoft ha dichiarato di non essere a conoscenza della disponibilità di codice pubblico di eventuali exploit.
Secondo Dustin Childs, un ricercatore che segue da vicino le patch di sicurezza per Zero Day Initiative, gli utenti Windows dovrebbero prestare particolare attenzione ai seguenti bollettini:
- CVE-2020-17132 – Vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Exchange: questo è uno dei numerosi bug relativi all’esecuzione di codice di Exchange ed è attribuito a tre diversi ricercatori. Ciò implica che il bug era piuttosto facile da trovare e che anche altri ricercatori potrebbero trovare la causa principale. Microsoft non fornisce uno scenario di attacco qui, ma osserva che l’aggressore deve essere autenticato. Ciò indica che se prendi il controllo della cassella postale di qualcuno, puoi assumere il controllo dell’intero server Exchange. Con tutti gli altri bug di Exchange, dai sicuramente la priorità al test e alla distribuzione di Exchange.
- CVE-2020-17121 – Vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft SharePoint: originariamente segnalata tramite il programma ZDI, questa patch corregge un bug che potrebbe consentire a un utente autenticato di eseguire codice .NET arbitrario su un server interessato nel contesto del servizio Applicazione Web SharePoint account. Nella configurazione predefinita, gli utenti di SharePoint autenticati sono in grado di creare siti che forniscono tutte le autorizzazioni necessarie che sono prerequisiti per lanciare un attacco.
- CVE-2020-17095 – Vulnerabilità legata all’esecuzione di codice in modalità remota in Hyper-V: questa patch corregge un bug che potrebbe consentire a un utente malintenzionato di aumentare i privilegi dall’esecuzione del codice in un guest Hyper-V all’esecuzione del codice sull’host Hyper-V passando un pacchetto vSMB non valido dati. Sembra che non siano necessarie autorizzazioni speciali sul SO guest per sfruttare questa vulnerabilità. Questo bug ha anche il punteggio CVSS più alto (8.5) per il rilascio.
- CVE-2020-16996 – Vulnerabilità di bypass delle funzionalità di sicurezza Kerberos: questa patch corregge un bug di bypass delle funzionalità di sicurezza (SFB) in Kerberos, ma grazie alla decisione di Microsoft di rimuovere i riepiloghi esecutivi e fornire solo un punteggio CVSS, non sappiamo quali caratteristiche specifiche vengano aggirate.
I ricercatori sulla sicurezza stanno sollecitando gli amministratori aziendali a prestare particolare attenzione a CVE-2020-17096, una vulnerabilità legata all’esecuzione di codice in modalità remota in Windows NTFS, il file system principale per Windows.
“Un utente malintenzionato remoto con accesso SMBv2 a un sistema vulnerabile potrebbe inviare richieste appositamente predisposte su una rete per sfruttare questa vulnerabilità ed eseguire codice sul sistema di destinazione“, ha avvertito Microsoft nel suo avviso.
Microsoft ha anche rilasciato un avviso per risolvere una vulnerabilità di spoofing che interessa il Resolver DNS di Windows. L’azienda ha messo a disposizione una soluzione alternativa che prevede la modifica del registro.
Nella seconda metà del 2020, gli aggiornamenti del Patch Tuesday di Microsoft, ad eccezione di ottobre e dicembre, hanno risolto più di 110 vulnerabilità ogni mese. In totale, quest’anno Microsoft ha corretto oltre 1.200 vulnerabilità, molto più delle 851 corrette nel 2019.
Fonte: SecurityWeek