Microsoft ha pubblicato il primo Patch Tuesday dell’anno il cui rilascio coincide, tra l’altro, con il termine del supporto esteso a Windows 7 (il supporto mainstream era già terminato il 13 gennaio 2015). Ciò vuol dire che i PC dotati di questa versione del sistema operativo saranno maggiormente esposti ad attacchi informatici e virus in quanto non riceveranno più alcun aggiornamento, neanche quelli di sicurezza.
Gli aggiornamenti Microsoft del Patch Tuesday di gennaio interessano 49 nuove vulnerabilità, di cui 7 valutate come critiche, 41 come importanti e 1 come moderata.
Indice degli argomenti
Vulnerabilità scoperta dalla NSA: i dettagli
Tra queste, è stata corretta anche una pericolosa falla di sicurezza in Windows 10, Windows Server 2016 e 2019 (a 32 e 64 bit) scoperta grazie alla collaborazione della NSA, la National Security Agency americana che, in questo modo, prova a ricostruire la sua reputazione dopo i numerosi scandali di cyber spionaggio che l’hanno vista protagonista negli ultimi anni.
Classificata come importante, soprannominata NSACrypt viste le circostanze in cui è stata scoperta e identificata come CVE-2020-0601, la vulnerabilità di tipo spoofing interessa la libreria crittografica CryptoAPI di Windows (Crypt32.dll) e, se sfruttata con successo, causerebbe una errata convalida di alcuni tipi di certificati crittografici.
In particolare, la vulnerabilità risiede in una errata validazione di certificati ECC (Elliptic Curve Cryptography) e può consentire ai criminal hacker di firmare il codice di un eseguibile malevolo utilizzando un certificato non valido facendolo apparire come proveniente da una fonte affidabile.
Un eventuale attaccante potrebbe quindi sfruttare questa falla di sicurezza per falsificare la firma digitale di un file eseguibile facendolo apparire sia all’utente sia ai software antivirus come legittimo e proveniente da una fonte attendibile. Di fatto, quindi, i criminal hacker potrebbero diffondere malware di ogni genere bypassando ogni controllo di sicurezza e spacciandolo per software legittimo.
La stessa vulnerabilità potrebbe essere utilizzata anche per condurre attacchi man-in-the-middle e per riuscire a decifrare conversazioni e informazioni riservate trasmesse su connessioni HTTPS.
Microsoft fa sapere di non aver individuato, al momento, alcun exploit in grado di sfruttare la vulnerabilità. Non è escluso, però, che i criminal hacker siano già al lavoro per sviluppare strumenti di exploiting a distanza utilizzabili per colpire centinaia di milioni di utenti Windows in tutto il mondo.
Secondo Sherrod DeGrippo di Proofpoint “anche se si tratta di una vulnerabilità grave per cui è assolutamente consigliabile applicare la patch, non c’è bisogno di farsi prendere dal panico. Se si pensa alla vulnerabilità e al numero di sistemi potenzialmente interessati, siamo lontani dagli scenari passati di Heartbleed o WannaCry”.
“Inoltre”, continua l’analista di Proofpoint, “le nostre ricerche mostrano come l’analisi comportamentale del malware sia in grado di identificare comunque codice dannoso, anche se è firmato con un certificato apparentemente legittimo”.
Aggiornamenti Microsoft: le vulnerabilità critiche
Oltre alla vulnerabilità appena analizzata, il Patch Tuesday di gennaio comprende aggiornamenti per i seguenti prodotti:
- Microsoft Windows
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- ASP.NET Core
- .NET Core
- .NET Framework
- OneDrive for Android
- Microsoft Dynamics
Ecco i dettagli delle 7 vulnerabilità critiche corrette con gli aggiornamenti Microsoft di gennaio:
- CVE-2020-0603, CVE-2020-0605, CVE-2020-0606 e CVE-2020-0646: le quattro vulnerabilità sono legate all’esecuzione di codice in modalità remota nel software di base .NET e ASP.NET. L’exploiting può essere attivato quando un utente apre un file malevolo creato ad hoc mentre sono in esecuzione le versioni interessate dalla vulnerabilità delle librerie .NET o ASP.NET Core. Un attaccante potrebbe quindi eseguire codice arbitrario nel contesto dell’utente corrente.
- CVE-2020-0609 e CVE-2020-0610: vulnerabilità riscontrate nell’esecuzione di codice da remoto nel server gateway usato dal protocollo Desktop remoto di Windows. Un attaccante potrebbe sfruttarle inviando una richiesta appositamente predisposta al gateway RDP del sistema target. Trattandosi di una vulnerabilità con pre-autenticazione, non è richiesta alcuna interazione da parte dell’utente.
- CVE-2020-0611: vulnerabilità legata all’esecuzione di codice da remoto nel client Windows Remote Desktop (RDP). L’exploiting avviene quando la vittima visita un server dannoso appositamente predisposto. Per riuscire a sfruttare la vulnerabilità con successo, quindi, un eventuale attaccante dovrebbe prima indurre la vittima a collegarsi a questo server tramite un file dannoso o mediante la tecnica del man-in-the-middle. A quel punto, l’attaccante sarebbe in grado di eseguire codice arbitrario sulla macchina target.
I dettagli di tutti gli altri aggiornamenti di sicurezza Microsoft per il mese di novembre possono essere consultati direttamente sul portale Microsoft.
Aggiornamenti di sicurezza Microsoft: ecco come installarli
Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità di aggiornamenti, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
