Video: Demonstrating CVE-2020-0688: A Remote Code Execution Bug in Microsoft Exchange (Settembre 2024)
Microsoft ha annunciato otto bollettini per la versione di Patch Tuesday di novembre, affrontando 19 vulnerabilità uniche nel software Microsoft, tra cui Internet Explorer, Hyper-V, Graphics Device Interface (GDI), Office e altri. Anche la vulnerabilità zero-day in Internet Explorer rivelata da FireEye nel fine settimana è stata risolta.
Tra gli avvisi, le tre patch più critiche sono la patch di Interent Explorer (MS13-088), GDI (MS13-089) e il difetto zero-day nel controllo ActiveX che ha interessato diverse versioni di Internet Explorer (MS13-090), sicurezza gli esperti hanno detto.
"Il Bollettino MS13-090 affronta il problema noto pubblicamente in ActiveX Control, attualmente sotto attacchi mirati. I clienti con aggiornamenti automatici abilitati sono protetti da questa vulnerabilità e non devono intraprendere alcuna azione", ha affermato Dustin Childs, responsabile del gruppo di Microsoft Trustworthy Computing.
Stato dei giorni zero
Il team di sicurezza di Microsoft ha avuto alcuni giorni impegnativi. La scorsa settimana, la società di sicurezza FireEye ha notificato a Microsoft gravi vulnerabilità in Internet Explorer, ma sembra che il team ne fosse già a conoscenza poiché la patch di controllo ActiveX (MS13-090) corregge il difetto di InformationCardSignInHelper. Gli aggressori hanno già preso di mira il bug in un attacco in stile water-hole, e stamattina il codice di exploit è apparso sul sito di condivisione di testo Pastebin, rendendolo un problema di massima priorità.
"È estremamente importante distribuire questa patch il più presto possibile", ha dichiarato Marc Maiffret, CTO di BeyondTrust.
Microsoft ha inoltre rivelato una vulnerabilità zero-day nel modo in cui alcune versioni di Microsoft Windows e versioni precedenti di Microsoft Office hanno gestito il formato grafico TIFF. Non ci sono patch disponibili per risolvere questo difetto in questa versione di Patch Tuesday, quindi gli utenti che non hanno ancora installato la soluzione temporanea FixIt dovrebbero prendere in considerazione di farlo il prima possibile.
"I sistemi a rischio e di alto valore dovrebbero già disporre di mitigazioni", ha affermato Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7.
Patch ad alta priorità
Un'altra patch IE (MS13-088) ha risolto due bug di divulgazione delle informazioni e otto problemi di corruzione della memoria in varie versioni del browser Web. Due delle vulnerabilità riguardano ogni versione di IE, dalle versioni 6 alla 11, l'ultima versione. Mentre gli attacchi che sfruttano queste vulnerabilità non sono ancora stati segnalati, il fatto che siano interessate così tante versioni di Windows e Internet Explorer significa che questa patch dovrebbe essere implementata il prima possibile.
Gli aggressori potrebbero sfruttare questi difetti creando una pagina Web dannosa e convincendo gli utenti a visualizzare la pagina per innescare un attacco drive-by-download, ha affermato Maiffret.
Il terzo bollettino con priorità più alta (MS13-089) corregge un bug GDI, che interessa tutte le versioni supportate di Windows da XP a Windows 8.1. Dato che gli aggressori devono creare un file dannoso e convincere gli utenti ad aprirlo in WordPad per sfruttare questa vulnerabilità, questo non è un semplice scenario di ricerca e acquisizione, ha avvertito Maiffret. Tuttavia, è "ancora potente, a causa del fatto che influisce su ogni versione di Windows supportata", ha affermato.
L'attaccante avrebbe ricevuto lo stesso livello di privilegio dell'applicazione in esecuzione che utilizzava l'interfaccia GDI.
Patch semplici
Diversi esperti hanno definito la patch di questo mese "diretta" perché le correzioni si sono concentrate su Windows, Internet Explorer e alcuni componenti di Office. Non c'erano "nulla di esoterico o difficile da correggere", come i plugin di SharePoint o il framework.NET, ha affermato Barrett. Le patch rimanenti risolvono le vulnerabilità in varie versioni di Microsoft Office (MS13-091), una vulnerabilità legata alla divulgazione di informazioni nelle versioni più recenti di Office (MS13-094), un'elevazione del difetto di privilegio in Hyper-V (MS13-092) in Windows 8 e Server 2012 R2, un bug di divulgazione delle informazioni in Windows (MS13-093) e un problema di negazione del servizio (MS13-095) nel sistema operativo.
"Nel complesso, sebbene sia solo un martedì di medie dimensioni, presta particolare attenzione ai due giorni 0 e all'aggiornamento di Internet Explorer. I browser continuano a essere il bersaglio preferito degli aggressori e Internet Explorer, con la sua quota di mercato leader, è uno degli obiettivi più visibili e probabili ", ha dichiarato Wolfgang Kandek, CTO di Qualys.
