In occasione del Patch Tuesday di aprile 2020, Microsoft ha rilasciato gli aggiornamenti di sicurezza per 113 vulnerabilità dei prodotti Microsoft, di cui 15 classificate come critiche, 93 come importanti, 3 come moderate e 2 come basse.
Tra i vari aggiornamenti di sicurezza, anche quelli necessari a patchare tre vulnerabilità zero-day, due delle quali interessano la Adobe Type Manager Library e sono state sfruttate attivamente in attacchi.
Il pacchetto cumulativo di aggiornamenti riguarda i seguenti prodotti:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based)
- ChakraCore
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- Windows Defender
- Visual Studio
- Microsoft Dynamics
- Microsoft Apps for Android
- Microsoft Apps for Mac
Indice degli argomenti
Vulnerabilità zero-day in Adobe Type Manager Library: i dettagli
Come dicevamo, con il Patch Tuesday di aprile 2020 Microsoft ha rilasciato le patch per due pericolose vulnerabilità zero-day presenti in Adobe Type Manager Library e già sfruttate in attacchi reali.
Identificate come CVE-2020-0938 e CVE-2020-1020 ed entrambe di tipo RCE (Remote Code Execution), sono vulnerabilità legate all’esecuzione di codice arbitrario in modalità remota che si presentano quando Windows Adobe Type Manager Library elabora determinati tipi di font OpenType e multi-master, cioè i caratteri PostScript Adobe Type 1.
Per capire cos’è e a cosa serve il modulo Windows Type Manager Library, è utile ricordare che in passato era necessario installare un software aggiuntivo chiamato Adobe Type Manager per visualizzare i font di proprietà di Adobe. Per migliorare l’usabilità dei sistemi, Adobe decise di rendere pubbliche le specifiche dei suoi formati consentendo a Microsoft integrare questo supporto per font nei suoi sistemi operativi.
Il problema di sicurezza corretto con le due patch rilasciate da Microsoft in occasione del Patch Tuesday di aprile 2020 risiede nel modo in cui la libreria gestisce i font di un particolare formato, Adobe Type 1 PostScript.
Per tutti i sistemi ad eccezione di Windows 10, un aggressore in grado di sfruttare con successo la vulnerabilità può eseguire codice arbitrario a distanza. Sui sistemi Windows 10, invece, l’esecuzione del codice arbitrario potrebbe avvenire solo nel contesto di una sandbox con privilegi e capacità limitati.
Manipolando opportunamente la font Adobe Type 1 PostScript, un criminal hacker potrebbe compromettere un dispositivo Windows sfruttando diversi vettori di attacco: intanto convincendo in qualche modo la vittima ad aprire un documento dannoso o semplicemente a visualizzarlo.
Un eventuale attaccante remoto potrebbe inoltre sfruttare questa vulnerabilità mediante un’estensione del protocollo HTTP chiamata Web Distributed Authoring and Versioning (WebDAV) che consente agli utenti di collaborare a un documento condiviso online.
In caso di exploiting positivo della vulnerabilità, l’aggressore potrebbe quindi installare programmi, visualizzare, modificare o cancellare dati o creare nuovi account con tutti i diritti dell’utente.
Gli aggiornamenti Microsoft per le altre vulnerabilità critiche
Ecco invece i dettagli delle principali vulnerabilità classificate come critiche corrette con gli aggiornamenti Microsoft di aprile 2020:
- CVE-2020-0687: vulnerabilità presente nella libreria di caratteri di Windows e legata all’esecuzione remota di codice. Un utente malintenzionato può sfruttare questo errore inducendo una vittima a visitare un sito Web appositamente predisposto o aprendo un file dannoso contenente un carattere particolare. L’exploiting positivo della vulnerabilità potrebbe consentire ad un utente malintenzionato di ottenere il controllo completo della macchina.
- CVE-2020-0907: vulnerabilità nel modulo Microsoft Graphics Components e legata all’esecuzione remota di codice arbitrario che si verifica quando il sistema gestisce in modo errato oggetti in memoria. Questo errore può essere attivato solo quando un utente apre un file appositamente predisposto.
- CVE-2020-0929, CVE-2020-0931, CVE-2020-0932: vulnerabilità legate all’esecuzione di codice in modalità remota in Microsoft SharePoint. L’exploiting della vulnerabilità prevede che l’attaccante carichi un pacchetto di SharePoint appositamente predisposto su una versione interessata dell’applicazione.
- CVE-2020-0968, CVE-2020-0970: vulnerabilità di corruzione della memoria nel motore di scripting di Internet Explorer. Questi bug potrebbero danneggiare la memoria in modo tale da consentire ad un aggressore di eseguire codice arbitrario nel contesto dell’utente corrente. Così come riporta il bollettino di sicurezza pubblicato da Microsoft, la vulnerabilità può essere attivata attraverso siti web appositamente predisposti o incorporando un controllo ActiveX contrassegnato come “sicuro per l’inizializzazione” in un documento di Microsoft Office o in un’altra applicazione che ospita il motore di rendering di Internet Explorer.
- CVE-2020-0969: vulnerabilità di corruzione della memoria nel motore di scripting Chakra del browser Edge. Un utente malintenzionato può sfruttare questo difetto inducendo un utente a visitare un sito Web dannoso appositamente predisposto.
Aggiornamenti Microsoft aprile 2020: ecco come installarli
Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.
Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di aprile 2020, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.