Solarwinds, Dicembre 2020, la patch del martedì: Un finale tranquillo di un anno difficile

Questo è l’ultimo Patch Tuesday del 2020, un anno pieno di tante vulnerabilità risolte ogni volta. Come per molte cose il mese di dicembre, è un po’ più calmo. Ci sono state circa la metà delle vulnerabilità in questo mese e nessuna che abbia portato attacchi attivi o richiesta di patch di emergenza; Sono sicuro che questo venga come un sollievo per molti dato che le cose cominciano a calmarsi in vista delle vacanze.

In totale, ci sono state solo 58 vulnerabilità elencate come risolte negli aggiornamenti rilasciati, 9 di queste “Critico” e 46  “Importante”. Come sempre, guarderemo le vulnerabilità “critiche” e alcune che sono etichettate come “importanti” che possono richiedere un po’ di attenzione. Di queste vulnerabilità ce n’è solo una sia nelle categorie dei sistemi operativi e sia nei browser, e solo alcune sia nei soliti sospetti di Exchange e Sharepoint, e due in Dynamics.

Sistemi operativi

Questo mese l’unico “Critico” nei sistemi operativi è CVE-2020-17095. Si tratta di una vulnerabilità Hyper-V Remote Code Execution a cui a volte ci si riferisce come Hyper-V vulnerabilità di escape. Secondo Microsoft, un utente malintenzionato potrebbe eseguire un’applicazione sul sistema operativo guest che gli permetterebbe di eseguire il codice sul sistema host. Non è richiesta l’interazione dell’utente. Questo tipo di attacco potrebbe permettere ad un hacker di muoversi lateralmente in un ambiente una volta ottenuto l’accesso a una VM ospite su un host. Questo ha un punteggio CVSS di 8.5 ma è elencato come “Exploitation Less Likely” da Microsoft, e ad oggi c’era solo codice exploit non provato.

Browsers

L’unico browser  “Critico” è una vulnerabilità Chakra Scripting Engine Memory Corruption, CVE-2020-17131. Questa vulnerabilità richiederebbe a un utente di interagire con un sito web dannoso. La vulnerabilità concederebbe all’hacker pieno accesso al sistema di destinazione. Microsoft elenca questa vulnerabilità come “Exploitation Less Likely” e riguarda la versione “Edge-HTML” di Microsoft Edge su tutte le versioni supportate di Windows 10 incluse le versioni Server.

Altre applicazioni

Sharepoint

Ci sono due vulnerabilità “Critiche” in Sharepoint questo mese, entrambe con il titolo Microsoft Sharepoint Remote Code Execution Vulnerabilità. Hanno descrizioni leggermente diverse, ma sono di natura simile. CVE-2020-17118 è elencato come “Exploitation More Likely” con una Bassa complessità di attacco, ma con l’interazione dell’utente necessaria per l’esecuzione. Secondo Microsoft, non ci sono attacchi attivi, ma c’è un codice proof-of-concept confermato. CVE-2020-17121 è simile ma non richiede l’interazione dell’utente da eseguire. Questa vulnerabilità è elencata solo come “Unproven Proof-of-Concept”, ma è ancora elencato come “Exploitation More Likely”. Queste vulnerabilità riguardano Sharepoint Foundation 2010 e 2013, Sharepoint Enterprise Server 2016 e Sharepoint Server 2019.

Exchange Server

Ci sono tre vulnerabilità in Exchange questo mese, tutte con il nome di  Vulnerabilità Microsoft Exchange Remote Code Execution. Sono tutte elencate come “Eploitation Less Likely”. Il primo, CVE-2020-17117 non richiede interazione con l’utente, ed è elencato come una vulnerabilità di rete. Gli altri due hanno uno dei più alti punteggi CVSS questo mese, entrambi a 9.1. CVE-2020-17132 e CVE-2020-17142 ed entrambi consentirebbero a un utente malintenzionato remoto di eseguire un cmdlet appositamente predisposto per eseguire codice sul server Exchange. Le versioni interessate sono Microsoft Exchange 2013, 2016 e 2019.  Questo è particolarmente preoccupante dal momento che gli on-premises server di Exchange sono tenuti ad essere visibili sulla rete, il che significa che un utente malintenzionato che potrebbe eseguire il codice sul server di Exchange avrebbe probabilmente accesso al resto della rete di destinazione. Anche se è elencato come “Exploitation Less Likely”, è necessario porre grande attenzione al vostro server Exchange on-premise questo mese per garantire che sia aggiornato il prima possibile. Per chi esegue Microsoft 365, nessun problema, dal momento che Microsoft stessa aggiorna l’ambiente.

Microsoft Dynamics 365

Questo mese ci sono due vulnerabilità con il titolo Microsoft Dynamics 365 per la finanza e le operazioni (on-premises) Remote Code Execution, con la stessa descrizione e dettagli. CVE-2020-17152 e CVE-2020-17158 sono vulnerabilità di esecuzione di codice remoto che Microsoft ha etichettato “Exploitation More Likely”. Nella descrizione, queste vulnerabilità affermano che l’hacker deve essere autenticato per sfruttare questa vulnerabilità.

“Importante” che richiede attenzione

Spesso ci sono momenti in cui le vulnerabilità elencate come “Importante” possono essere quelle che vengono prima sfruttate dai malintenzionati, quindi la mia raccomandazione è quella di trattare sempre le vulnerabilità “Importante” con la stessa preoccupazione si tratta di quelle “Critiche”. Anche se non le vedremo tutte qui, ce n’è una che spicca e che merita un po’ di attenzione. CVE-2020-17096 è una vulnerabilità di esecuzione di codice remoto di Windows NTFS che Microsoft elenca come “Exploitation More Likely” e gli viene assegnato un punteggio CVSS di 7.5. Questa è una vulnerabilità in Smbv2 che permetterebbe a un utente malintenzionato remoto di accedere al sistema ed eseguire il codice. Alle vulnerabilità relative SMB viene di solito data particolare attenzione da parte dei cattivi attori perché in molti casi possono consentire agli hacker di diffondersi da sistema a sistema, quindi non sarei sorpreso se presto vediamo alcuni attacchi utilizzando questa vulnerabilità.

Le altre vulnerabilità che hanno bisogno di attenzione questo mese sono principalmente l’elevazione dei privilegi vulnerabilità nei sistemi operativi, e diverse informazioni vulnerabilità di divulgazione in Excel, Powerpoint, e Office prodotti. Ci sono anche aggiornamenti notevoli per il server Azure Devops e Visual Studio, per coloro che eseguono gli strumenti di sviluppo.

Da un punto di vista prioritario, vi consiglio di concentrarvi sui server di Exchange on-premise sotto la vostra gestione, e dopo di porre attenzione alle installazioni di Sharepoint. Poi prestate particolare attenzione a tutti i sistemi Internet per la vulnerabilità Smbv2, e quindi ottenere quei server Hyper-V patch. I desktop e i prodotti Office possono essere patchati secondo il loro normale programma di patch.

Come nota a margine, ci stiamo avvicinando alla fine del primo anno del programma Extended Security Updates (ESU) per Windows 7 e Windows Server 2008 R2. Questo mese c’è stato un solo aggiornamento ESU, ma quest’anno ci sono state numerose correzioni per questi sistemi operativi che si otterranno solo se si dispone di un accordo ESU. Ci sono due anni rimasti nel programma di supporto ESU, ma il nuovo anno è un ottimo momento per guardare a quei vecchi sistemi operativi e indagare lo spostamento ad un sistema operativo supportato che ottiene gli aggiornamenti senza ulteriori accordi di supporto richiesti.

Come ho detto prima, quest’anno è stato uno dei più alti conteggi di vulnerabilità che siano mai stati visti. Questo probabilmente è a causa delle ulteriori vulnerabilità di attenzione sono state sempre dalla quantità crescente di team di ricerca che partecipano a programmi di ricerca di vulnerabilità come Microsoft. Questo è un bene, come scoprire e fare patching delle vulnerabilità in modo precoce che riduce notevolmente il rischio per gli ambienti che mantengono un buon programma di patch. E con la crescente complessità e volume degli attacchi che abbiamo visto quest’anno, i difensori hanno bisogno di tutto l’aiuto possibile.

Per l’articolo originale di Bill Langston sul SolarWinds Blog premi QUI

Condividi
Tweet
LinkedIn
Torna in cima