Patch day Microsoft di agosto 2021: le vulnerabilità davvero critiche sono tre

Come ogni secondo martedì del mese Microsoft ha reso disponibili una serie di aggiornamenti di sicurezza per Windows e per gli altri suoi software.
Le vulnerabilità complessivamente corrette sono 44, di cui 9 sono indicate come critiche.
Le falle di sicurezza più importanti sono comunque 3: una corregge di nuovo il problema individuato nello spooler della stampante e conosciuto con l’appellativo PrintNightmare, un’altra riguarda il servizio Windows LSA (Local Security Authority) mentre una terza corregge un grave bug nell’implementazione del protocollo TCP/IP.

L’aggiornamento di sicurezza (CVE-2021-36936) che mette un freno alla vulnerabilità PrintNightmare evita che eventuali utenti malintenzionati possano ottenere privilegi di livello SYSTEM semplicemente collegando il sistema da aggredire a un server di stampa remoto sotto il loro controllo.
Microsoft ha risolto questa vulnerabilità imponendo l’utilizzo dei privilegi amministrativi per installare i driver delle stampanti usando la funzione Point and Print.

Secondo il ricercatore Benjamin Delpy, tuttavia, il suo codice proof-of-concept risulta ancora perfettamente funzionante dopo l’installazione delle patch Microsoft di agosto. In altre parole è ancora possibile acquisire i privilegi SYSTEM usando un normale account utente con un ventaglio di privilegi limitato. La falla PrintNightmare è quindi ancora una volta da considerarsi non completamente risolta.

Con l’aggiornamento per CVE-2021-36942 i tecnici di Microsoft hanno anche posto fino all’attacco chiamato PetitPotam utilizzabile dai criminali informatici per indurre un sistema vulnerabile a collegarsi con un server remoto controllato dagli aggressori.
Il problema di sicurezza risiede nel componente LSARPC (Local Security Authority Remote Procedure Call) che resta in ascolto e gestisce i tentativi di connessione al sistema attraverso autenticazione con nome utente e password.

Con un attacco che può avvenire in modalità remota attraverso la rete un aggressore può “assumere le redini” di un controller di dominio altrui senza conoscere alcuna credenziale valida.
Per questo motivo, sebbene il problema riguardi tutte le installazioni di Windows Server, Microsoft esorta alla tempestiva installazione della patch sui controller di dominio Active Directory.
Ovvio che non esponendo pubblicamente le porte di comunicazione sull’interfaccia WAN (servendosi di una VPN o di un firewall che impedisce tentativi di connessione da IP sconosciuti) i rischi di attacco si riducono notevolmente.

La falla risolvibile mediante l’applicazione della correzione per la vulnerabilità nota con l’identificativo CVE-2021-26424 ha a che fare con l’implementazione del protocollo TCP/IP di Windows. Un aggressore potrebbe innescare questa vulnerabilità da una macchina virtuale Hyper-V inviando un pacchetto TCP/IP appositamente creato all’host.
Utilizzando questa leva un’applicazione malevola in esecuzione su un sistema guest può compromettere il funzionamento dell’host.

Tra le altre lacune che meritano attenzione c’è anche quella che affligge i client di Desktop remoto (CVE-2021-34535): in questo caso un utente che si collegasse a un server RDP malevolo potrebbe vedere eseguito codice arbitrario, quindi potenzialmente dannoso, sul suo sistema.

La lista completa delle vulnerabilità corrette questo mese è pubblicata nella consueta analisi a cura di ISC/SANS.