Come parte del suo Patch Day di ottobre, Microsoft ha rilasciato 10 bollettini di sicurezza, cinque dei quali dei quali classificati come critici, quattro come importanti e uno come moderato per affrontare 45 vulnerabilità in diversi suoi prodotti, tra cui Edge, Graphics Component, Internet Explorer, Video Control, Windows Diagnostic Hub, Windows Kernel-Mode Drivers, Windows Registry, Microsoft Internet Messaging API, Microsoft Office e Adobe Flash Player. Come annunciato in precedenza, l'azienda di Redmond si è mossa verso un nuovo modello cumulativo per Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e gli aggiornamenti di Windows Server 2012 R2.
La patch più importante, come riporta Computing, avrebbe riparato una falla di sicurezza che è stata sfruttata in una campagna malvertising utilizzata per propagare ransomware per quasi un anno. Gestita da un attore di minaccia designato come "AdGholas" ha colpito ben 1 milione di macchine client al giorno. La patch avrebbe risolto la falla sfruttata dalla campagna AdGholas malvertising, sei mesi dopo che la società di sicurezza Proofpoint ed il ricercatore Kafeine hanno rilevato e segnalato il difetto. I ricercatori di sicurezza hanno affermato che, sebbene la vulnerabilità sia stata identificata nel mese di aprile, era probabilmente già stata sfruttata da alcuni mesi per propagare ransomware penetrando nelle imprese tramite annunci inseriti in reti di pubblicità ampiamente utilizzati.
L'operazione di malvertising ha infettato migliaia di vittime ogni giorno, usando una sofisticata combinazione di tecniche di filtraggio e di steganografia (sistema per nascondere codice all'interno delle immagini), come analizzato dai ricercatori di Trend Micro. Alcune delle vittime sono state filtrate in base alla loro geolocalizzazione per servire determinati programmi malware, in genere Trojan banking, solo per gli utenti in determinate regioni. I computer che hanno caricato gli annunci sono stati reindirizzati a server canaglia che ospitano l'exploit kit, attraverso strumenti di attacco basati sul Web che tentano di sfruttare in silenzio le vulnerabilità nelle popolari applicazioni, al fine di installare malware. Di seguito i bollettini sulla sicurezza di ottobre in ordine di gravità.
L'operazione di malvertising ha infettato migliaia di vittime ogni giorno, usando una sofisticata combinazione di tecniche di filtraggio e di steganografia (sistema per nascondere codice all'interno delle immagini), come analizzato dai ricercatori di Trend Micro. Alcune delle vittime sono state filtrate in base alla loro geolocalizzazione per servire determinati programmi malware, in genere Trojan banking, solo per gli utenti in determinate regioni. I computer che hanno caricato gli annunci sono stati reindirizzati a server canaglia che ospitano l'exploit kit, attraverso strumenti di attacco basati sul Web che tentano di sfruttare in silenzio le vulnerabilità nelle popolari applicazioni, al fine di installare malware. Di seguito i bollettini sulla sicurezza di ottobre in ordine di gravità.
• MS16-118 - Aggiornamento cumulativo per la protezione di Internet Explorer (3192887). Questo aggiornamento per la protezione risolve le vulnerabilità in Internet Explorer. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
• MS16-119 - Aggiornamento cumulativo per la protezione di Microsoft Edge (3192890). Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Edge. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Microsoft Edge. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli con privilegi di amministrazione.
• MS16-120 - Aggiornamento della protezione per Microsoft Graphics Component (3192884). Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business, Silverlight e Microsoft Lync. Il più grave di queste vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente visita un sito web o appositamente predisposto o apre un documento appositamente predisposto. Gli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• MS16-121 - Aggiornamento della protezione per Microsoft Office (3194063). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Office. La vulnerabilità Office RTF legata all'esecuzione di codice in modalità remota esiste nel software Microsoft Office quando il software Office non riesce a gestire correttamente i file RTF. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente.
• MS16-122 - Aggiornamento della protezione per Microsoft Video Control (3195360). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se Microsoft Video Control non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Tuttavia, un utente malintenzionato deve prima convincere un utente ad aprire un file appositamente predisposto o un programma sia da una pagina Web o un messaggio di posta elettronica.
• MS16-123 - Aggiornamento della protezione per i driver modalità kernel di Windows (3192892). Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta che potrebbe sfruttare le vulnerabilità e prendere il controllo del sistema interessato.
• MS16-124 - Aggiornamento della protezione per Windows Registry (3193227). Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Windows. Le vulnerabilità possono consentire l'elevazione dei privilegi se un utente malintenzionato può accedere ad informazioni sensibili del Registro.
• MS16-125 - Aggiornamento della protezione per la Diagnostics Hub (3193229). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema interessato ed esegue un'applicazione appositamente predisposta.
• MS16-126 - Aggiornamento della protezione per Microsoft Internet Messaging API (3196067). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. Una vulnerabilità legata all'intercettazione di informazioni esiste quando l'API di Microsoft Internet Messaging gestisce in modo improprio gli oggetti in memoria. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe verificare la presenza di file su disco.
• MS16-127 - Aggiornamento della protezione per Adobe Flash Player (3194343). Questo aggiornamento per la protezione risolve le vulnerabilità di Adobe Flash Player installato in tutte le edizioni supportate di Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, e Windows 10.
Come fa notare la società di sicurezza Qualys, cinque aggiornamenti hanno almeno una vulnerabilità 0-day ciascuno. Tutte le versioni supportate di Windows ora seguono un modello di aggiornamento che contiene tutte le nuove correzioni di sicurezza per quel mese, portando un'esperienza di manutenzione più coerente e semplificata. Sarà rilasciato su Windows Server Update Services (WSUS), dove potrà essere eseguito da altri strumenti come ConfigMgr, e il catalogo di Windows Update. Questo pacchetto non sarà disponibile per PC consumer che vengono aggiornati tramite Windows Update. Questo sarà caratterizzato da un numero KB unico e verrà pubblicato il secondo Martedì del mese (denominato comunemente "Patch Tuesday"), indicato anche come "B week" update.
Come spiega Microsoft, anche .NET Framework seguirà il modello cumulativo con una pubblicazione mensile che fornirà solo aggiornamenti di sicurezza e di qualità per le versioni di .NET Framework attualmente installati sul PC. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.41, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse.
Nessun commento:
Posta un commento