Patch day Microsoft di maggio: brutta falla in Windows 10 e Windows Server

Il “patch day” Microsoft di maggio 2021 è piuttosto leggero: la società di Redmond ha infatti risolto “solo” 55 vulnerabilità. Un numero di correzioni così ridotto non si registrava ormai dal mese di gennaio 2020. Complessivamente sono inoltre appena 3 le lacune di sicurezza indicate come a elevata criticità.

Tra tutte spicca la patch per la lacuna di sicurezza contraddistinta dall’identificativo CVE-2021-31166.
Si tratta di un grave problema di sicurezza che risiede nello stack del protocollo HTTP sui sistemi Windows 10 e Windows Server versione 1903 e successive.

Un aggressore non autenticato può sfruttare la vulnerabilità per eseguire codice arbitrario sulla macchina esposta sulla rete Internet semplicemente inviando un pacchetto HTTP creato “ad arte”.

Secondo Microsoft la vulnerabilità è wormable: può essere quindi sfruttata per aggredire un vasto numero di macchine su larga scala e usarle, una volta attaccate, per individuare e violare altri server. Tant’è vero che al problema di sicurezza in questione è stato assegnato un punteggio sulla scala CVSS pari a 9,8 su un massimo di 10.
I tecnici di Microsoft hanno aggiunto che la vulnerabilità presente nello stack HTTP è relativamente facile da sfruttare in quanto considerata “a bassa complessità”.

La buona notizia è che il problema riguarda soltanto i sistemi Windows 10 e Windows Server 1903 e build seguenti: sebbene a essere esposti siano innanzi tutto le installazioni di Windows Server che condividono il kernel di Windows 10 (quindi non le precedenti versioni del sistema operativo; come peraltro confermato nel Microsoft Update Catalog), Dustin Childs (Zero Day Initiative) esorta anche gli utenti di Windows 10 ad aggiornare perché in alcune situazioni è cosa piuttosto comune attivare le funzionalità server integrate a livello di sistema operativo.

La seconda vulnerabilità più critica di questo mese è CVE-2021-28476.
Essa riguarda l’utilizzo della piattaforma Hyper-V sulle varie versioni di Windows: in assenza della patch si potrebbe mostrare il fianco ad attacchi DoS (Denial of Service) anche se Microsoft non esclude l’esecuzione di codice potenzialmente dannoso.

Merita una menzione speciale anche CVE-2020-24587 in quanto si tratta di una vulnerabilità scoperta addirittura lo scorso anno e sulla cui gestione Microsoft stava lavorando ormai da molto tempo.
Questa patch corregge una vulnerabilità che potrebbe consentire a un aggressore di accedere al contenuto dei pacchetti crittografati e trasferiti in modalità wireless.
Non è chiaro quale sia la portata del problema ma indubbiamente, per sfruttare l’eventuale assenza dell’aggiornamento correttivo, l’aggressore dovrebbe fisicamente porsi a breve distanza dal sistema preso di mira.

Maggiori informazioni sul “patch day” di questo mese sono disponibili nella consueta analisi di ISC SANS e nel blog di Cisco Talos.