Microsoft ha rilasciato 44 correzioni di sicurezza per il Patch Tuesday di agosto, con sette delle vulnerabilità classificate come critiche. C'erano tre giorni zero inclusi nel rilascio e 37 sono stati valutati come importanti.
Tredici delle patch riguardavano una vulnerabilità legata all'esecuzione di codice in modalità remota, mentre altre otto riguardavano la divulgazione di informazioni.
Gli strumenti interessati includevano .NET Core & Visual Studio, ASP.NET Core e amp; Visual Studio, Azure, Windows Update, componenti dello spooler di stampa di Windows, Windows Media, Windows Defender, client desktop remoto, Microsoft Dynamics, Microsoft Edge (basato su Chromium), Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint e altro ancora.
Una delle patch più importanti rilasciate nell'ultimo batch copre la vulnerabilità di Windows Print Spooler Remote Code Execution, che è stata un importante argomento di discussione da quando è stata scoperta a giugno. Microsoft ha anche affrontato il contraccolpo della comunità della sicurezza per aver pasticciato nel rilascio di patch destinate a risolvere il problema.
I bug zero-day risolti includono:
CVE-2021-36948 Vulnerabilità legata all'acquisizione di privilegi da parte del servizio Windows Update MedicCVE-2021-36942 Vulnerabilità legata allo spoofing LSA di WindowsCVE-2021-36936 Vulnerabilità legata all'esecuzione di codice in modalità remota dello spooler di stampa di Windows
Windows Update Medic La vulnerabilità Service Elevation of Privilege è l'unica che è stata sfruttata in natura, secondo il rapporto di Microsoft, ma non spiega come, dove o da chi.
L'esperto di sicurezza Allan Liska ha affermato che CVE-2021-36948 si è distinto per le sue somiglianze con CVE-2020-17070, pubblicato nel novembre 2020.
“Ovviamente, è un male che venga sfruttato in natura, ma abbiamo riscontrato quasi la stessa identica vulnerabilità nel novembre del 2020, ma non riesco a trovare alcuna prova che sia stata sfruttata in natura”, ha affermato Liska. “Quindi, mi chiedo se questo sia un nuovo obiettivo per gli attori delle minacce.”
Liska ha aggiunto che CVE-2021-26424 è una vulnerabilità da tenere d'occhio perché è una vulnerabilità di esecuzione di codice remoto TCP/IP di Windows che colpisce Windows 7 fino a 10 e Windows Server 2008 fino al 2019.
“Mentre questa vulnerabilità non è elencato come divulgato pubblicamente o sfruttato in natura, Microsoft lo ha etichettato come “Sfruttamento più probabile”, il che significa che lo sfruttamento è relativamente banale. Le vulnerabilità nello stack TCP/IP possono essere complicate. All'inizio di quest'anno c'era molta preoccupazione CVE-2021-24074, una vulnerabilità simile, ma che non è stata sfruttata in natura”, ha spiegato Liska.
“D'altra parte, CVE-2020-16898 dell'anno scorso, un'altra vulnerabilità simile, è stata sfruttata in natura”.
La vulnerabilità legata allo spoofing LSA è correlata a un avviso inviato da Microsoft alla fine del mese scorso su come proteggere i controller di dominio Windows e altri server Windows dall'attacco di inoltro NTLM noto come PetitPotam.
Scoperto a luglio dal ricercatore francese Gilles Lionel, il metodo PetitPotam dell'attacco NTLM Relay può “costringere gli host Windows ad autenticarsi su altre macchine tramite la funzione MS-EFSRPC EfsRpcOpenFileRaw”. Non si è mai scoperto che fosse stato sfruttato.
La Zero Day Initiative ha notato che Adobe ha anche rilasciato due patch che affrontano 29 CVE in Adobe Connect e Magento. ZDI ha dichiarato di aver presentato otto dei bug nel recente rapporto Microsoft e ha spiegato che questo è il numero più basso di patch rilasciate da Microsoft da dicembre 2019. Hanno attribuito il calo a vincoli di risorse considerando che Microsoft ha dedicato molto tempo a luglio a rispondere a eventi come PrintNightmare e PetitPotam.
“Guardando i restanti aggiornamenti di livello critico, la maggior parte sono del tipo “brown-and-own”, il che significa che un utente malintenzionato dovrebbe convincere un utente a navigare in un sito Web appositamente predisposto con un sistema interessato ,” ha detto ZDI.
“Un'eccezione sarebbe CVE-2021-26432, che è una patch per Windows Services for NFS ONCRPC XDR Driver. Microsoft non fornisce informazioni su come sfruttare la vulnerabilità classificata CVSS 9.8, ma nota che non ha bisogno né di privilegi né di sfruttare l'interazione dell'utente.”
Il prossimo Patch Tuesday è il 14 settembre.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere VPN Surfshark recensione: È economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Center CXO per la gestione dei dati di Microsoft Security TV 