Martedì Microsoft ha lanciato patch di sicurezza per contenere un totale di 71 vulnerabilità in Microsoft Windows e altri software, inclusa una correzione per una vulnerabilità di escalation dei privilegi attivamente sfruttata che potrebbe essere sfruttata insieme a bug di esecuzione di codice remoto per prendere il controllo su sistemi vulnerabili.
Due dei difetti di sicurezza affrontati sono classificati come critici, 68 sono classificati come importanti e uno è classificato come livello di gravità basso, con tre dei problemi elencati come noti pubblicamente al momento del rilascio. I quattro giorni zero sono i seguenti:
CVE-2021-40449 (punteggio CVSS: 7,8) - Vulnerabilità relativa all'elevazione dei privilegi di Win32k
CVE-2021-41335 (punteggio CVSS: 7,8) - Vulnerabilità dell'elevazione dei privilegi del kernel di Windows
CVE-2021-40469 (punteggio CVSS: 7.2) - Vulnerabilità dell'esecuzione di codice remoto del server DNS di Windows
CVE-2021-41338 (punteggio CVSS: 5,5) - Vulnerabilità di bypass delle funzionalità di sicurezza delle regole di Windows AppContainer Firewall
In cima alla lista c'è CVE-2021-40449, una vulnerabilità use-after-free nel driver del kernel Win32k scoperta da Kaspersky come sfruttata in natura alla fine di agosto e all'inizio di settembre 2021 come parte di una diffusa campagna di spionaggio rivolta all'IT aziende, appaltatori della difesa ed enti diplomatici. L'azienda russa di sicurezza informatica ha soprannominato il cluster di minacce "MysterySnail".
"La somiglianza del codice e il riutilizzo dell'infrastruttura C2 [comando e controllo] che abbiamo scoperto ci ha permesso di collegare questi attacchi con l'attore noto come IronHusky e l'attività APT di lingua cinese risalente al 2012", i ricercatori di Kaspersky Boris Larin e Costin Raiu ha affermato in un articolo tecnico, con le catene di infezione che portano all'implementazione di un trojan di accesso remoto in grado di raccogliere ed estrarre informazioni di sistema da host compromessi prima di contattare il proprio server C2 per ulteriori istruzioni.
Altri bug degni di nota includono vulnerabilità di esecuzione di codice in modalità remota che interessano Microsoft Exchange Server ( CVE-2021-26427 ), Windows Hyper-V ( CVE-2021-38672 e CVE-2021-40461 ), SharePoint Server ( CVE-2021-40487 e CVE- 2021-41344 ) e Microsoft Word ( CVE-2021-40486 ) nonché un difetto di divulgazione di informazioni in Rich Text Edit Control ( CVE-2021-40454 ).
CVE-2021-26427, che ha un punteggio CVSS di 9,0 ed è stato identificato dalla National Security Agency degli Stati Uniti, sottolinea che "I server di Exchange sono obiettivi di alto valore per gli hacker che cercano di penetrare nelle reti aziendali", Bharat Jogi, senior manager di vulnerabilità e ricerca sulle minacce presso Qualys, ha affermato.
Il martedì della patch di ottobre è completato dalle correzioni per due carenze appena scoperte nel componente Print Spooler - CVE-2021-41332 e CVE-2021-36970 - ciascuna relativa a un bug di divulgazione di informazioni e una vulnerabilità di spoofing, che è stata contrassegnata con un " Sfruttamento più probabile" valutazione dell'indice di sfruttabilità.
"Una vulnerabilità di spoofing di solito indica che un utente malintenzionato può impersonare o identificarsi come un altro utente", ha osservato il ricercatore di sicurezza ollypwn in un thread su Twitter. "In questo caso, sembra che un utente malintenzionato possa abusare del servizio Spooler per caricare file arbitrari su altri server".
Patch software di altri fornitori
Oltre a Microsoft, sono state rilasciate patch anche da numerosi altri fornitori per affrontare diverse vulnerabilità, tra cui:
Adobe
Android
Apple
Cisco
Citrix
Intel
Distribuzioni Linux Oracle Linux , Red Hat e SUSE
LINFA
Schneider Electric
Siemens
VMware
Due dei difetti di sicurezza affrontati sono classificati come critici, 68 sono classificati come importanti e uno è classificato come livello di gravità basso, con tre dei problemi elencati come noti pubblicamente al momento del rilascio. I quattro giorni zero sono i seguenti:
CVE-2021-40449 (punteggio CVSS: 7,8) - Vulnerabilità relativa all'elevazione dei privilegi di Win32k
CVE-2021-41335 (punteggio CVSS: 7,8) - Vulnerabilità dell'elevazione dei privilegi del kernel di Windows
CVE-2021-40469 (punteggio CVSS: 7.2) - Vulnerabilità dell'esecuzione di codice remoto del server DNS di Windows
CVE-2021-41338 (punteggio CVSS: 5,5) - Vulnerabilità di bypass delle funzionalità di sicurezza delle regole di Windows AppContainer Firewall
In cima alla lista c'è CVE-2021-40449, una vulnerabilità use-after-free nel driver del kernel Win32k scoperta da Kaspersky come sfruttata in natura alla fine di agosto e all'inizio di settembre 2021 come parte di una diffusa campagna di spionaggio rivolta all'IT aziende, appaltatori della difesa ed enti diplomatici. L'azienda russa di sicurezza informatica ha soprannominato il cluster di minacce "MysterySnail".
"La somiglianza del codice e il riutilizzo dell'infrastruttura C2 [comando e controllo] che abbiamo scoperto ci ha permesso di collegare questi attacchi con l'attore noto come IronHusky e l'attività APT di lingua cinese risalente al 2012", i ricercatori di Kaspersky Boris Larin e Costin Raiu ha affermato in un articolo tecnico, con le catene di infezione che portano all'implementazione di un trojan di accesso remoto in grado di raccogliere ed estrarre informazioni di sistema da host compromessi prima di contattare il proprio server C2 per ulteriori istruzioni.
Altri bug degni di nota includono vulnerabilità di esecuzione di codice in modalità remota che interessano Microsoft Exchange Server ( CVE-2021-26427 ), Windows Hyper-V ( CVE-2021-38672 e CVE-2021-40461 ), SharePoint Server ( CVE-2021-40487 e CVE- 2021-41344 ) e Microsoft Word ( CVE-2021-40486 ) nonché un difetto di divulgazione di informazioni in Rich Text Edit Control ( CVE-2021-40454 ).
CVE-2021-26427, che ha un punteggio CVSS di 9,0 ed è stato identificato dalla National Security Agency degli Stati Uniti, sottolinea che "I server di Exchange sono obiettivi di alto valore per gli hacker che cercano di penetrare nelle reti aziendali", Bharat Jogi, senior manager di vulnerabilità e ricerca sulle minacce presso Qualys, ha affermato.
Il martedì della patch di ottobre è completato dalle correzioni per due carenze appena scoperte nel componente Print Spooler - CVE-2021-41332 e CVE-2021-36970 - ciascuna relativa a un bug di divulgazione di informazioni e una vulnerabilità di spoofing, che è stata contrassegnata con un " Sfruttamento più probabile" valutazione dell'indice di sfruttabilità.
"Una vulnerabilità di spoofing di solito indica che un utente malintenzionato può impersonare o identificarsi come un altro utente", ha osservato il ricercatore di sicurezza ollypwn in un thread su Twitter. "In questo caso, sembra che un utente malintenzionato possa abusare del servizio Spooler per caricare file arbitrari su altri server".
Patch software di altri fornitori
Oltre a Microsoft, sono state rilasciate patch anche da numerosi altri fornitori per affrontare diverse vulnerabilità, tra cui:
Adobe
Android
Apple
Cisco
Citrix
Intel
Distribuzioni Linux Oracle Linux , Red Hat e SUSE
LINFA
Schneider Electric
Siemens
VMware
Commenti
Posta un commento