Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

UPDATE

Aggiornamenti Windows, corretta vulnerabilità che potrebbe portare ad un altro WannaCry: i dettagli

Col Patch Tuesday di maggio, Microsoft rilascia tra gli aggiornamenti Windows una patch anche per 7, Server 2008, XP e Server 2003 per correggere una vulnerabilità che, se sfruttata, potrebbe causare un attacco con entità paragonabile a quella misurata due anni fa con WannaCry. Ecco che c’è da sapere

15 Mag 2019

Paolo Tarsitano


Con il quinto Patch Tuesday dell’anno Microsoft ha rilasciato gli aggiornamenti Windows che correggono 79 vulnerabilità nei suoi sistemi operativi e in altri prodotti tra cui, un po’ a sorpresa, anche una patch per le vecchie versioni 7 e Server 2008 oltre che per Windows XP e Windows Server 2003 (entrambi ormai non più supportati da diversi anni) necessaria a correggere una vulnerabilità critica di tipo wormable che, se sfruttata, potrebbe consentire il propagarsi di un malware da un computer all’altro senza l’interazione dell’utente, un po’ come è successo due anni fa con WannaCry.

Vulnerabilità critica di tipo wormable: i dettagli tecnici

La vulnerabilità critica individuata nelle vecchie versioni di Windows è, come dicevamo, di tipo wormable con pre-authentication: ovvero, potrebbe essere sfruttata come punto di ingresso ad una rete locale consentendo poi ad un malware di propagarsi da un computer vulnerabile all’altro senza richiedere alcuna interazione da parte degli utenti.

In pratica, lo sfruttamento della vulnerabilità consentirebbe la diffusione di malware del tutto simile al ransomware WannaCry che ha colpito in tutto il mondo nel 2017, con le conseguenze devastanti che tutti conosciamo.

Identificata come CVE-2019-0708, la vulnerabilità wormable è stata individuata nei Remote Desktop Services (precedentemente noti come Terminal Services) che potrebbero essere sfruttati da un attaccante remoto per inviare richieste create ad hoc tramite il protocollo RDP (Remote Desktop Protocol) ad un sistema target per comprometterlo. È importante osservare che il protocollo RDP non è vulnerabile, ma viene semplicemente utilizzato come vettore dai criminal hacker per l’invio dei pacchetti di dati malevoli.

“Anche se non abbiamo osservato alcuno sfruttamento di questa vulnerabilità”, si legge nella nota ufficiale rilasciata da Microsoft, “è altamente probabile che attori malintenzionati scriveranno un exploit per sfruttare questa vulnerabilità incorporandolo nel loro malware”.

Gli aggiornamenti per le versioni di Windows ancora supportate sono disponibili nella Microsoft Security Update Guide, per cui saranno scaricati e installati mediante gli Aggiornamenti automatici del sistema operativo. Gli utenti che ancora usano Windows XP e Windows Server 2003 dovranno invece provvedere a scaricare e installare manualmente la patch corretta per la versione del proprio sistema operativo così come indicato nel bollettino di sicurezza KB4500705.

Come soluzione alternativa, Microsoft consigliato agli utenti dei sistemi operativi Windows Server di bloccare la porta TCP 3389 e abilitare l’autenticazione a livello di rete per impedire a qualsiasi aggressore non autenticato di sfruttare questa vulnerabilità wormable.

Gli utenti che usano Windows 8 e Windows 10 non sono invece interessati da questa vulnerabilità in quanto le nuove versioni del sistema operativo adottano sistemi di mitigazione dei malware wormable basata sulla tecnologia Network Level Authentication (NLA) che richiede un’autenticazione prima che la vulnerabilità possa essere sfruttata.

Tutte le vulnerabilità critiche del Patch Tuesday di maggio

Oltre alla vulnerabilità wormable appena analizzata, con il nuovo pacchetto di aggiornamenti cumulativo Microsoft ha corretto anche queste altre vulnerabilità critiche o di gravità elevata:

  • CVE-2019-0863: vulnerabilità a gravità elevata di tipo EoP (Elevation of Privilege) nella gestione dei file da parte del componente Windows Error Reporting (WER) di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario in modalità kernel;
  • CVE-2019-0929: vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte di Internet Explorer che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente;
  • CVE-2019-0926: vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte di Microsoft Edge che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente;
  • CVE-2019-0903: vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte del componente Graphics Device Interface (GDI) di Microsoft Windows che può consentire ad un attaccante di prendere il controllo di un sistema compromesso;
  • CVE-2019-0953: vulnerabilità critica legata ad una gestione impropria degli oggetti in memoria da parte di Microsoft Word che può consentire ad un attaccante di eseguire azioni arbitrarie nel contesto dell’utente corrente mediante un file appositamente predisposto;
  • CVE-2019-0725: vulnerabilità critica nel componente DHCP Server di Microsoft Windows che può consentire ad un attaccante di eseguire codice arbitrario da remoto sul server DHCP mediante l’invio di pacchetti creati ad hoc.

Sono poi state individuate le seguenti vulnerabilità multiple classificate come critiche in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria da parte del motore di scripting Chakra che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente:

Infine, altre tre vulnerabilità multiple critiche sono state individuate in Microsoft Edge e Internet Explorer legate alla gestione degli oggetti in memoria da parte dello Scripting Engine che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente:

Aggiornamenti di sicurezza Windows: ecco come installarli

Agli utenti e agli amministratori di sistema si raccomanda vivamente di applicare le ultime patch di sicurezza il più presto possibile per tenere gli hacker e i criminali informatici lontani dal prendere il controllo dei loro sistemi.

Windows 10 è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità di aggiornamenti, è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5