Con il suo ultimo aggiornamento della sicurezza regolarmente pianificato, Microsoft ha risolto 120 vulnerabilità del software, inclusi 17 difetti critici, uno dei quali è un bug zero-day che è stato attivamente sfruttato in natura.
Microsoft quest'anno ha già eclissato il numero totale di patch emesse durante tutto il 2019, un ritmo che secondo gli esperti della Zero-Day Initiative (ZDI) di Trend Micro rappresenta una sfida per la gestione delle patch per le aziende.
"Questo porta il numero totale di patch Microsoft rilasciate quest'anno a 862 – 11 patch in più rispetto a Microsoft fornite in tutto il 2019", ha affermato ZDI in un post sul blog oggi. “Se mantengono questo ritmo, è del tutto possibile che spediscano più di 1.300 patch quest'anno. Questo volume, insieme a difficili scenari di manutenzione, esercita un'ulteriore pressione sui team di gestione delle patch ".
Il primo zero-day è CVE-2020-1380 , una vulnerabilità di danneggiamento della memoria che può provocare l'esecuzione di codice in modalità remota quando il motore di scripting gestisce in modo errato gli oggetti in memoria in Internet Explorer. Gli aggressori possono sfruttare questo bug per ottenere gli stessi diritti utente dell'utente corrente, il che potrebbe portare a un cambio di gestione dei sistemi che consente l'installazione di programmi, la manipolazione dei dati o la creazione di account privilegiati, se l'utente dispone di privilegi amministrativi.
"In uno scenario di attacco dal Web, un utente malintenzionato potrebbe ospitare un sito Web appositamente predisposto progettato per sfruttare la vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web", spiega Microsoft nel suo aggiornamento per la protezione. “Un utente malintenzionato potrebbe anche incorporare un controllo ActiveX contrassegnato come" sicuro per l'inizializzazione "in un'applicazione o in un documento di Microsoft Office che ospita il motore di rendering di IE. L'autore dell'attacco potrebbe inoltre trarre vantaggio da siti Web e siti Web compromessi che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti. Questi siti web potrebbero contenere contenuti appositamente predisposti che potrebbero sfruttare la vulnerabilità. "
Kaspersky ha segnalato il difetto dopo aver indagato su un tentativo di attacco contro un'azienda sudcoreana, un attacco che la società attribuisce con media fiducia al sospetto gruppo APT sudcoreano DarkHotel . Secondo Kaspersky , il tentativo di esecuzione di codice in modalità remota ha comportato una catena di exploit in due fasi utilizzando sia CVE-2020-1380 che un'escalation dei privilegi nel servizio di stampa Windows che è stata patchata lo scorso giugno.
"Quando si verificano attacchi in natura con vulnerabilità zero-day, è sempre una grande notizia per la comunità della sicurezza informatica", ha affermato Boris Larin, esperto di sicurezza di Kaspersky che è specificamente accreditato per la ricerca di bug. "Il rilevamento riuscito di una tale vulnerabilità spinge immediatamente i fornitori a rilasciare una patch e costringe gli utenti a installare tutti gli aggiornamenti necessari".
"Ciò che è particolarmente interessante nell'attacco scoperto è che i precedenti exploit che abbiamo trovato riguardavano principalmente l'elevazione dei privilegi", ha continuato Larin. “Tuttavia, questo caso include un exploit con capacità di esecuzione di codice in modalità remota, che è più pericoloso. Insieme alla capacità di influenzare le ultime build di Windows 10, l'attacco scoperto è davvero raro al giorno d'oggi. Ci ricorda ancora una volta di investire in importanti informazioni sulle minacce e tecnologie di protezione comprovate per essere in grado di rilevare in modo proattivo le ultime minacce zero-day ".
“Non si sa quanto siano estesi gli attacchi, ma considerando che questo bug è stato segnalato da Kaspersky, è ragionevole presumere che sia coinvolto malware. Se stai ancora utilizzando IE, fai di questo la tua massima priorità ", ha affermato ZDI.
Microsoft ha corretto un secondo bug zero-day sfruttato attivamente, CVE-2020-1464 , che è stato classificato come importante, non critico. Il difetto è una vulnerabilità di spoofing di Windows, causata dalla convalida errata delle firme dei file, che potrebbe consentire a un malintenzionato di "aggirare le funzionalità di sicurezza e caricare file firmati in modo improprio", avverte Microsoft nel suo avviso.
Oltre a CVE-2020-1380, le rimanenti 16 vulnerabilità critiche sono costituite da due bug aggiuntivi nel motore di scripting, uno in .NET Framework, cinque in Media Foundation, uno in Edge, uno Outlook, tre nella Libreria dei codec di Windows, uno nel motore MSHTML, uno in NetLogon e uno in Windows Media. Tutti tranne uno sono difetti di esecuzione di codice in modalità remota, mentre il resto è un'elevazione dei privilegi.
Il post Microsoft patch 2 ha sfruttato attivamente i difetti zero-day è apparso per la prima volta su SC Media .