Microsoft ha risolto 59 vulnerabilità nel Patch Tuesday di ottobre, tra cui diverse falle dell’RCE (remote code execution).
Una delle più significative è stata la vulnerabilità (CVE-2019-1333) nel client desktop remoto dell’azienda che consente a un server dannoso di ottenere il controllo di un computer Windows ad esso collegato. Microsoft ha avvertito che un utente malintenzionato potrebbe farlo utilizzando il social engineering, il poisoning del DNS, un attacco man-in-the-middle o compromettendo un server legittimo. Una volta compromesso il client, è possibile eseguire codice arbitrario su di esso.
Un’altra vulnerabilità critica di RCE ha interessato il parser MS XML in Windows 8.1, Windows 10, Windows Server 2012 fino al 2019 e RT 8.1. Un utente malintenzionato può attivare il bug CVE-2019-1060 attraverso un sito Web dannoso che richiama il parser in un browser.
Un bug di corruzione della memoria nel motore di scripting Chakra di Edge (CVE-2019-1366) consente inoltre a un sito Web dannoso di attivare l’RCE, operando con i privilegi dell’account dell’utente, mentre una vulnerabilità RCE in Azure Stack, l’estensione locale di Microsoft del suo servizio cloud di Azure , esce dalla sandbox eseguendo un codice arbitrario con l’account NT AUTHORITY \ system.
La società ha anche corretto un bug RCE critico in VBScript che consente a un utente malintenzionato di corrompere la memoria e assumere il controllo del sistema, in genere inviando un controllo ActiveX tramite un sito Web o un documento di Office. Si spera che i bug in VBScript diventino in futuro meno importanti ora che la società ha disattivato il linguaggio.
Altri bug considerati importanti che Microsoft ha corretto questa settimana includono una vulnerabilità di spoofing in Microsoft Edge e una falla legata all’acquisizione di privilegi più elevati nel server IIS (CVE-2019-1365) che potrebbe consentire a un utente malintenzionato di sfuggire alla sandbox IIS con una richiesta Web.
C’era anche un difetto nella funzionalità di avvio sicuro di Windows che avrebbe permesso di esporre la memoria del kernel protetta accedendo alla funzionalità di debug che dovrebbe essere protetta. Bisognerebbe avere accesso fisico alla macchina per trarre vantaggio da questo bug, etichettato CVE-2019-1368.
Gli utenti locali del sistema finanziario e operativo di Dynamics 365 dovrebbero correggere il bug di scripting cross-site CVE-2019-1375 che consente a un utente malintenzionato di dirottare sessioni utente.
Tra le dozzine di altri bug che Redmond ha corretto questa settimana c’era un’elevazione della vulnerabilità dei privilegi nel client Windows Update. Esso potrebbe consentire a un cyber criminale di assumere il controllo della funzione che aggiorna il sistema operativo Windows e di installare, modificare o eliminare i programmi a suo piacimento. Tuttavia, dovrebbe prima aver effettuato l’accesso al sistema.
Nella patch erano anche inclusi rollup mensili per il bug di corruzione della memoria critica CVE-2019-1367 in Internet Explorer che poteva eseguire il codice arbitrario di un criminale nel contesto di un utente autorizzato. Esso riguarda IE 9, 10 e 11. Lo stesso rollup mensile presenta un aggiornamento per il bug CVE-2019-1255. Abbiamo riportato entrambi in questi ultimi mesi e le patch sono disponibili dal 23 settembre 2019. Tuttavia, la patch IE zero-day iniziale era confusa e ha causato problemi.
Per Adobe invece è stato un mese tranquillo, senza patch o advisory.
Lascia un commento