Patch day Microsoft di agosto: nuove vulnerabilità in Desktop Remoto

In occasione del suo “patch day” ferragostano Microsoft ha rilasciato qualcosa come 90 patch sviluppate per risolvere decine di problematiche di sicurezza individuate nei suoi software.

Questo mese gli aggiornamenti più delicati sono certamente quelli destinati a risolvere alcune nuove falle di sicurezza nei servizi di Desktop Remoto (Remote Desktop Services): CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 e CVE-2019-1226.

Chi espone la porta utilizzata dal servizio di Desktop remoto sull’IP pubblico – cosa assolutamente sconsigliata – dovrebbe installare gli aggiornamenti quanto prima.
Le nuove falle relative a Desktop Remoto e all’utilizzo del protocollo RDP sono state da molti battezzate BlueKeep II e BlueKeep III mentre il ricercatore Kevin Beaumont le ha scherzosamente chiamate DejaBlue.
Sì perché le lacune appena risolte da Microsoft si pongono sullo stesso solco di BlueKeep (vedere Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto) e sono esse stesse “wormable“. Un aggressore può cioè sfruttare Desktop Remoto per eseguire codice nocivo sui sistemi altrui, senza superare alcuna autenticazione preventiva.

Per il resto, come si evince nell’analisi pubblicata sul sito di ISC, le problematiche più gravi riguardano Hyper-V (un aggressore può eseguire codice arbitrario sulla macchina ospitante – host – superando i confini della macchina virtuale: CVE-2019-0720).

Particolarmente delicate anche le lacune connesse con alcune imperfezioni nell’implementazione del protocollo HTTP/2 in Windows Server 2016 e versioni successive: sulle macchine sprovviste delle patch, utenti malintenzionati potrebbero provocare un attacco DoS (Denial of Service) impedendo la corretta erogazione dei servizi.

Microsoft ha poi risolto una falla legata alla gestione dei file LNK, i classici “collegamenti”, in Windows 10 e Windows Server 2019. Facendovi clic, l’utente può consentire ad applicazioni dannose di eseguire operazioni sul sistema in uso con i diritti più elevati in assoluto (CVE-2019-1188).

Un cabaret di patch riguarda le funzionalità della GUI di Windows: durante il rendering di alcuni elementi grafici, in assenza degli aggiornamenti Microsoft, può verificarsi l’esecuzione di codice dannoso.

Completano il quadro, le patch per la risoluzione di problematiche relative alla gestione degli script VBScript, al motore Chakra del browser Microsoft Edge, al kernel del sistema operativo, a una falla nell’implementazione dello standard Bluetooth della quale parleremo in un articolo a sé.

Suggeriamo di attendere una decina di giorni prima di applicare gli aggiornamenti in modo da dare il tempo a Microsoft di correggere eventuali anomalie segnalate dagli utenti: Perché evitare di installare subito le patch Microsoft e quando va fatto.
Nel caso dei sistemi Windows ove la porta RDP di Desktop Remoto (solitamente la 3389) fosse esposta sull’IP pubblico, suggeriamo di evitarne la raggiungibilità e l’utilizzo da parte di qualunque indirizzo IP remoto. A tal proposito, è importante impostare una regola a livello firewall e limitare gli IP client dai quali è possibile richiedere la connessione al componente server.

La buona notizia è che per tutte le vulnerabilità citate non esistono né attacchi in corso né è stato pubblicato alcun codice exploit per sferrare un attacco: passerà del tempo, quindi, prima che i criminali informatici riescano a mettere a punto codice funzionante. Con la pubblicazione delle patch Microsoft, però, è ufficialmente iniziata l’attività di reverse engineering.