Ogni tanto, un aggiornamento di Microsoft Patch Tuesday fa un botto tale da indurre gli utenti a cercare riparo.
Probabilmente è il caso dell’aggiornamento di settembre 2019 grazie ai suoi non meno di 17 falle critiche (escluso Adobe), oltre a due vulnerabilità zero-day contrassegnate come “importanti” che Microsoft afferma di essere sfruttate in the wild.
Si tratta di CVE-2019-1214 e CVE-2019-1215, entrambe bug di innalzamento dei privilegi in tutte le versioni (7, 8.1, 10, inclusi i server) di Windows Common Log File System (CLFS) e ws2ifsl.sys (Winsock) , rispettivamente.
Entrambe richiedono l’autenticazione locale, il che significa che lo sfruttamento di cui Microsoft è preoccupata probabilmente dipende dall’utilizzo congiunto con altre vulnerabilità.
Ma non lasciatevi illudere dal loro stato “non critico”: esse sono abbastanza pericolose da consentire a un utente malintenzionato di ottenere i privilegi di amministratore. La differenza tra “importante” e “critico” in questo contesto è rappresentata solo dalla quantità di sforzo richiesto piuttosto che dal problema che potrebbe causare.
Inoltre altre due vulnerabilità contrassegnate come “importanti”, CVE-2019-1235 (Windows Test Service Framework) e CVE-2019-1294 (Secure Boot Bypass) sono ora di dominio pubblico, il che significa che il loro sfruttamento è una possibilità.
RDS e tutto il resto
Le caratteristiche distintive di un totale di 80 vulnerabilità sono, naturalmente, i punti critici. Tra questi ci sono quattro falle lato client nel Desktop remoto, CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 e CVE-2019-1291.
Il tema dei bug nei Servizi Desktop remoto (RDS, precedentemente Terminal Services) e Remote Desktop Protocol (RDP) quest’anno si è fatto sentire con il “BlueKeep” di questa estate, ma si tratta di vulnerabilità più difficili da sfruttare e non wormable. Come scrive Microsoft:
Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe avere il controllo di un server e quindi convincere un utente a connettersi ad esso.
Più probabilmente, un utente malintenzionato potrebbe semplicemente compromettere un server legittimo di cui l’utente si fida utilizzando una vulnerabilità nota sul lato server e quindi attendere che le vittime si connettano.
Le scorciatoie di Windows
Un’altra interessante vulnerabilità critica è la CVE-2019-1280, un bug di esecuzione di codice remoto collegato al modo in cui Windows elabora le scorciatoie di Windows .LNK che Microsoft descrive come segue:
L’autore dell’attacco potrebbe presentare all’utente un’unità rimovibile o una condivisione remota contenente un file .LNK dannoso e un binario malevolo associato.
Se vi suona piuttosto familiare, potrebbe essere perché è un tipo di baco reso famoso dal CVE-2010-2568, – una vulnerabilità chiave sfruttata dagli attacchi di Stuxnet contro l’Iran nel 2010 (la tecnica è stata anche usata dal malware “Astaroth” nel 2018).
Adobe
Settembre 2019 è invece un mese modesto per Adobe, con solo tre CVE che risolvono due bug critici in Flash Player (CVE-2019-8069, CVE-2019-8070) e una vulnerabilità di DLL hijacking classificata come “importante” in Application Manager.