Questa patch di martedì è come le ultime: meno di 100 vulnerabilità corrette, con alcune vulnerabilità ad alta gravità e un mix di vulnerabilità del sistema operativo e di altre applicazioni. Ciò che colpisce davvero questo mese è un gruppo di quattro vulnerabilità rilasciate da Microsoft la settimana prima che sembrano essere parte di un attacco a catena contro i server Exchange. Se non lo hai già fatto, assicurati di applicare la patch ai tuoi server Exchange poiché è una priorità immediata.
In tutto, Microsoft ha risolto 82 vulnerabilità (più le quattro del 2 marzo). Dieci di loro sono contrassegnati come critici , mentre il resto è elencato come importante . Esaminiamo alcuni dettagli dell’attacco a Exchange, quindi esamineremo le patch critiche e alcune altre che meritano la tua attenzione questo mese.
Exchange Zero Day
Il 2 marzo Microsoft ha divulgato e rilasciato correzioni per quattro vulnerabilità: CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065 .
Queste vulnerabilità sono state osservate in un attacco concatenato eseguito da Hafnium, un gruppo APT attribuito alla Cina, per installare shell web ed eseguire codice su un server Exchange con la porta 443 aperta e disponibile. Il giorno dopo, il CISA ha emesso una direttiva di emergenza per tutte le organizzazioni per distribuire le patch e cercare eventuali indicatori di compromissione. In questo momento, Microsoft ha pubblicato linee guida e script da utilizzare per verificare se sei stato compromesso. Il nostro Lewis Pope, responsabile tecnico senior del marketing del prodotto, ha creato alcuni oggetti di gestione dell’automazione che puoi utilizzare per cercare le prove iniziali che la prima vulnerabilità (CVE-2021-26855) è stata sfruttata. Puoi trovare l’oggetto:
- per N-central ® (clicca qui) e
- per RMM (clicca qui) .
Se vuoi saperne di più leggi il suo articolo (clicca qui). Se scopri di essere stato colpito (dopo aver applicato le patch, ovviamente), l’FBI ti ha chiesto di contattarli per assistere nelle indagini. Questo tipo di cooperazione può aiutare a migliorare gli sforzi e le protezioni per la sicurezza informatica in futuro.
Sistemi operativi
Tornando alla patch di martedì, ecco le patch del sistema operativo elencate come critiche .
- CVE-2021-26897 è una vulnerabilità legata all’esecuzione di codice in modalità remota nel server DNS di Windows che Microsoft elenca come sfruttamento più probabile . Si tratta di un attacco a bassa complessità che non richiede interazione da parte dell’utente. Questa vulnerabilità interessa Server 2008 fino alle versioni correnti di Windows Server in cui è abilitato il ruolo del server DNS. Questa vulnerabilità ha un punteggio CVSS di 9,8. Secondo Microsoft, abilitare gli aggiornamenti di Secure Zone può mitigare il rischio, ma solo l’applicazione della patch può prevenire completamente lo sfruttamento.
- CVE-2021-26867 è intitolato Vulnerabilità di esecuzione di codice in modalità remota Windows Hyper-V. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità sul client Hyper-V ed eseguire codice sul server Hyper-V senza alcuna interazione da parte dell’utente. Sebbene questo abbia un punteggio CVSS elevato di 9,9, Microsoft lo ha elencato come Exploitation Less Likely . Dovresti notare che Microsoft afferma che Hyper-V è vulnerabile solo se utilizza il file system Plan 9.
- Le prossime patch critiche sono un trio di correzioni per una vulnerabilità legata all’esecuzione di codice remoto delle estensioni video HEVC. CVE-2021-27061 , CVE-2021-24089 e CVE-2021-26902 hanno la stessa descrizione e dettagli. Si trovano nelle estensioni video HEVC utilizzate dalle app di Windows Store. Microsoft li elenca come Sfruttamento meno probabile e va notato che le app di Windows Store si aggiornano automaticamente.
- L’ultima vulnerabilità critica del sistema operativo è CVE-2021-26876 , una vulnerabilità legata all’esecuzione di codice in modalità remota di analisi dei caratteri OpenType. Questa vulnerabilità CVSS 8.8 richiede l’interazione dell’utente, come la visita di un sito Web dannoso o l’apertura di un documento dannoso e garantirebbe all’aggressore il pieno controllo sul sistema di destinazione. Questa vulnerabilità interessa tutte le versioni supportate di Windows 10, incluso Server.
Browser
L’unica correzione critica nella categoria dei browser è una vulnerabilità legata al danneggiamento della memoria di Internet Explorer , CVE-2021-26411 . Microsoft lo elenca come Exploitation Detected e ha un punteggio CVSS di 8,8. Interessa Internet Explorer 9, Internet Explorer 11 e la versione Edge-HTML di Microsoft Edge.
Il 4 marzo, Microsoft ha pubblicato un elenco di 33 numeri CVE che sono stati corretti nella versione più recente del loro Microsoft Edge basato su Chromium. Sono stati corretti nel ramo principale di Chromium e verranno aggiornati automaticamente: assicurati semplicemente di eseguire almeno la versione 89.0.774.45 di Edge.
Altre applicazioni
CVE-2021-21300 è una vulnerabilità legata all’esecuzione di codice in modalità remota in Git per Visual Studio. È un attacco a bassa complessità con un CVSS di 8.8 e colpisce gli strumenti di sviluppo su tutte le versioni supportate di Windows 10 e Server.
Microsoft ha anche rilasciato correzioni per due vulnerabilità in Azure Sphere per dispositivi IoT. Qualsiasi dispositivo che esegue i servizi Azure Sphere verrà aggiornato automaticamente, quindi non è richiesta alcuna azione.
Importante ma necessita di attenzione
Ci sono altre due vulnerabilità questo mese con attributi che meritano attenzione, anche se non sono elencate come critiche.
Innanzitutto abbiamo CVE-2021-26863 , che è una vulnerabilità legata all’elevazione dei privilegi di Windows Win32k. Sebbene non sia richiesta l’interazione dell’utente, dovresti sapere che l’esecuzione di questa vulnerabilità richiede l’accesso al sistema, il che significa che un cattivo attore dovrebbe utilizzare un altro metodo per ottenere un punto d’appoggio (come un attacco a catena). Questa vulnerabilità interessa tutte le versioni supportate di Windows 10 fino alle attuali, inclusi Server e Core. Microsoft lo elenca come Sfruttamento più probabile .
Infine, abbiamo una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft SharePoint Server , CVE-2021-27076 . Questa vulnerabilità consentirebbe a un utente malintenzionato di creare un sito su SharePoint ed eseguire codice arbitrario. Sebbene questo sia anche elencato come Sfruttamento più probabile , richiede che l’autore dell’attacco abbia accesso alle credenziali che gli consentirebbero di creare un sito sul server.
Conclusioni
Non lo sottolineerò mai abbastanza: se esegui Exchange in locale, l’applicazione di patch a questi sistemi dovrebbe essere la tua priorità assoluta oggi. Una volta fatto, esegui gli script di rilevamento per vedere se i tuoi server o quelli dei tuoi clienti sono stati interessati. In caso contrario, continua con il resto delle priorità. Se rilevi indicatori di compromissione, contatta l’FBI e considera la possibilità di coinvolgere specialisti della sicurezza per esaminare i tuoi ambienti per altri indicatori della presenza di cattivi attori.
Per il resto delle patch, ti consiglio di iniziare concentrandoti sui tuoi server DNS e su eventuali server Hyper-V. Quindi rivolgi la tua attenzione alle workstation per affrontare l’elevazione dei privilegi di vulnerabilità e le vulnerabilità del browser.
Come sempre, stai al sicuro là fuori!
FONTE: Solarwinds MSP BLOG BY Gill Langston – Capo nerd della sicurezza per SolarWinds MSP. Puoi seguire Gill su Twitter all’indirizzo @cybersec_nerd
TRADUZINE ED ADATTAMENTO: N4B SRL – Distributore Autorizzato Solarwinds MSP