Durante l’ultimo Patch Tuesday, Microsoft ha risolto un totale di 71 vulnerabilità. La più pericolosa è CVE-2021-40449, una vulnerabilità use-after-free nel driver Win32k che i criminali informatici stanno già sfruttando.
Inoltre, Microsoft ha colmato tre gravi vulnerabilità già note al pubblico. Per ora, gli esperti di Microsoft considerano la loro possibilità di sfruttamento come “meno probabile”. Tuttavia, gli esperti di sicurezza stanno analizzando attivamente queste vulnerabilità, e i proof-of-concept sono disponibili su Internet, e qualcuno potrebbe provare ad usarne uno.
Vulnerabilità del kernel di Microsoft Windows
CVE-2021-41335, la più pericolosa di queste tre vulnerabilità, ha un punteggio di 7.8 sulla scala CVSS. Contenuta nel kernel di Microsoft Windows, permette la privilege escalation di un processo potenzialmente dannoso.
Aggirare Windows AppContainer
La seconda vulnerabilità, CVE-2021-41338, coinvolge l’aggiramento delle restrizioni dell’ambiente Windows AppContainer, che protegge applicazioni e processi. Se si verificano determinate condizioni, una persona non autorizzata può sfruttarla grazie alle regole predefinite di Windows Filtering Platform. Di conseguenza, può portare alla privilege escalation.
I membri di Google Project Zero hanno scoperto la vulnerabilità a luglio e l’hanno segnalata a Microsoft, dando all’azienda una scadenza di 90 giorni per correggerla e pubblicare proof of concept nel dominio pubblico. La vulnerabilità ha un rating CVSS di 5.5.
Vulnerabilità del server DNS di Windows
La vulnerabilità CVE-2021-40469 si applica solo ai dispositivi di Microsoft Windows in esecuzione come server DNS. Tuttavia, tutte le attuali versioni server del sistema operativo, a partire da Server 2008 e fino al recentemente rilasciato Server 2022, sono vulnerabili. CVE-2021-40469 permette l’esecuzione di codice remoto sul server e ha un rating di 7.2 sulla scala CVSS.
Come proteggere la vostra azienda
I risultati del nostro Incident Response Analyst Report 2021, che hanno prodotto i nostri colleghi di Risposta agli Incidenti, indicano che le vulnerabilità rimangono popolari vettori di attacco iniziale. Inoltre, le vulnerabilità non sono necessariamente le più recenti, la minaccia principale qui non sono le vulnerabilità zero-day, ma i ritardi nell’installazione degli aggiornamenti in generale. Pertanto, raccomandiamo sempre di installare gli aggiornamenti su tutti i dispositivi collegati il più presto possibile. L’aggiornamento è particolarmente importante per le applicazioni critiche come i sistemi operativi, i browser e le soluzioni di sicurezza.
Per proteggere la vostra azienda da attacchi che utilizzano vulnerabilità ancora sconosciute, utilizzate soluzioni di sicurezza con tecnologie di protezione proattiva in grado di rilevare gli exploit zero-day.