UPDATE

Aggiornamenti Microsoft marzo 2020, corrette 115 vulnerabilità ma non quella in SMBv3: i dettagli

Microsoft ha rilasciato il Patch Tuesday di marzo 2020 contenente gli aggiornamenti di sicurezza per 115 vulnerabilità individuate in diversi prodotti. Stranamente non c’è la patch per un pericoloso bug in SMBv3 che invece era stata precedentemente anticipata. Ecco i dettagli per mettere in sicurezza il nostro sistema

11 Mar 2020
Paolo Tarsitano

Editor Cybersecurity360.it


È stato pubblicato il Microsoft Patch Tuesday di marzo 2020 contenente gli aggiornamenti per le vulnerabilità identificate in vari prodotti. In particolare, il nuovo pacchetto di aggiornamenti interessa 117 nuove vulnerabilità, di cui 25 valutate come critiche, 91 come importanti e 1 come moderata.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based)
  • ChakraCore
  • Internet Explorer
  • Microsoft Exchange Server
  • Microsoft Office, Microsoft Office Services e Web Apps
  • Azure DevOps
  • Windows Defender
  • Visual Studio
  • Open Source Software
  • Azure
  • Microsoft Dynamics

Vulnerabilità in Microsoft SMBv3: nessuna patch disponibile

Nella giornata di ieri Microsoft ha pubblicato anche un bollettino di sicurezza a parte per la vulnerabilità individuata nel modulo Microsoft SMBv3, soprannominata SMBGhost e identificata con CVE 2020-0796.

Contrariamente a quanto anticipato da alcune società di sicurezza, però, al momento Microsoft non ha rilasciato alcuna patch per questo bug, ma solo un workaround contenente le istruzioni per disattivare il modulo di sistema.

Una decisione alquanto strana, vista la potenziale pericolosità della patch. Come già successo nel 2017 con la versione 1 del Server Message Block (SMBv1) contenente una vulnerabilità che poteva essere sfruttata mediante il famigerato exploit EternalBlue, anche la nuova versione SMBv3 contiene una vulnerabilità RCE (Remote Code Execution) di tipo wormable che, se sfruttata con successo, potrebbe consentire ad un malware di propagarsi autonomamente da un computer all’altro di una rete locale senza l’interazione dell’utente e senza utilizzare alcun vettore di attacco.

Proprio come è successo nel 2017 con WannaCry.

Al momento, la vulnerabilità interessa solo le seguenti versioni di Windows:

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Per mitigare il rischio di un attacco effettuato sfruttando la vulnerabilità CVE 2020-0796 occorre innanzitutto disabilitare SMBv3 tramite il seguente comando PowerShell:

WHITEPAPER
Cloud: cogli tutte le opportunità! Meno costi, senza skill ad hoc e con dati in Italia
Cloud
Cloud Application

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” DisableCompression -Type DWORD -Value 1 -Force

Quindi è opportuno bloccare la porta TCP 445 sui firewall perimetrali per proteggere le reti dagli attacchi esterni.

A dimostrazione della pericolosità di questa vulnerabilità, il CERT-PA ha effettuato una query su Shodan relativamente all’esposizione della porta 445, individuando 1.361.487 di macchine esposte in tutto il mondo, di cui 19.505 in Italia.

Aggiornamenti Microsoft: le vulnerabilità critiche

Ecco invece i dettagli delle principali vulnerabilità classificate come critiche o importanti corrette con gli aggiornamenti Microsoft di marzo:

  • CVE-2020-0850, CVE-2020-0851, CVE-2020-0852, CVE-2020-0855: si tratta di vulnerabilità RCE (Remote Code Execution) identificate nel modo in cui Microsoft Word gestisce gli oggetti in memoria. Qualora venissero sfruttate con successo, potrebbero consentire ad un attaccante di eseguire azioni malevole nel contesto dell’utente corrente sfruttando un documento Word compromesso e distribuito, ad esempio, mediante e-mail di spam.
  • CVE-2020-0761: vulnerabilità di tipo EoP (Elevation of Privilege) in Microsoft Office che potrebbe consentire ad un utente malintenzionato di eseguire l’attività OLicenseHeartbeat a livello di sistema dopo aver sostituito un file normalmente legittimo con uno appositamente predisposto, corrompendo la memoria.
  • CVE-2020-0684: vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Windows che si presenta quando l’utente apre un file .LNK appositamente predisposto dai criminal hacker e distribuito, ad esempio, mediante unità rimovibili o condivisioni remote. Aprendo il collegamento non si fa altro che eseguire il file binario indicato nel codice.
  • CVE-2020-0801, CVE-2020-0807, CVE-2020-0809, CVE-2020-0869: vulnerabilità di corruzione della memoria identificate in Microsoft Media Foundation. Per sfruttarle con successo un attaccante dovrebbe indurre la vittima (mediante malspam o phishing) ad aprire un file o una pagina Web appositamente predisposte. A quel punto, l’utente malintenzionato sarebbe in grado di installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account utente sul computer della vittima.
  • CVE-2020-0823, CVE-2020-0825, CVE-2020-0826, CVE-2020-0827, CVE-2020-0828, CVE-2020-0829, CVE-2020-0831, CVE-2020-0832, CVE- 2020-0833, CVE-2020-0848: vulnerabilità di corruzione della memoria rilevate nel modo in cui il motore di scripting ChakraCore gestisce gli oggetti in memoria. Qualora venissero sfruttate con successo, potrebbero consentire di eseguire codice arbitrario nel contesto dell’utente corrente.
  • CVE-2020-0824, CVE-2020-0847: vulnerabilità dovute all’esecuzione di codice in modalità remota nel motore VBScript. Un attaccante potrebbe sfruttarle entrambe inducendo la vittima a visitare un sito Web appositamente predisposto tramite il browser Internet Explorer.
  • CVE-2020-0881, CVE-2020-0883: vulnerabilità di tipo RCE identificate nelle API di GDI+. Un attaccante potrebbe sfruttarle inducendo l’utente a visitare una pagina Web appositamente predisposta e ospitata su un server gestito dall’attaccante stesso.

Aggiornamenti Microsoft marzo 2020: ecco come installarli

Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.

Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft di marzo 2020, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3