Patch day Microsoft di dicembre 2020: le principali vulnerabilità risolte. Come evitare attacchi DNS poisoning

• Server
• Patch management

Nel giorno del patch day di dicembre Microsoft ha rilasciato aggiornamenti correttivi per 58 vulnerabilità di sicurezza, 9 delle quali considerate critiche.
Complessivamente si tratta un patch day mensile un po’ più leggero rispetto al passato anche perché questa volta al momento non si conoscono codici zero-day che possano essere sfruttati per attaccare i sistemi sprovvisti degli aggiornamenti correttivi.

Una delle lacune di sicurezza più serie è CVE-2020-17118 che riguarda SharePoint e che può consentire a un aggressore di eseguire codice arbitrario, quindi potenzialmente nocivo, sulla macchina.

Di particolare rilievo è anche la vulnerabilità sanabile con l’installazione della patch per la falla CVE-2020-17096.
In questo caso il problema si manifesta a livello di file system NTFS: un malintenzionato che possa già accedere a un altro sistema attraverso il protocollo SMBv2 può inviare pacchetti appositamente congegnati per acquisire diritti elevati ed eseguire codice arbitrario.
La problematica interessa tutte le versioni di Windows attualmente supportate da Microsoft sia a livello client che server.

C’è poi una vulnerabilità critica in Microsoft Exchange (CVE-2020-17117) che può consentire a un malintenzionato di eseguire codice in modalità remota.

Sebbene ancora non se ne conoscano i dettagli tecnici, critica è anche una lacuna di sicurezza scoperta in Hyper-V (CVE-2020-17095): quasi sicuramente dovrebbe permettere a un codice malevolo eseguito all’interno della macchina virtuale di superare i confini di quest’ultima e far danno sul sistema host.

Anche se non si tratta di una vera e propria patch, con gli aggiornamenti di dicembre 2020 Microsoft ha indicato anche come scongiurare i nuovi attacchi di tipo poisoning sferrati contro i server DNS Windows Server.
Nell’articolo Il possibile ritorno degli attacchi DNS cache poisoning abbiamo spiegato brevemente come i criminali informatici possano modificare ancora oggi le risposte fornite dai server DNS e indirizzare i client verso siti che non sono quelli originali e legittimi (attacchi phishing).

In questo documento di supporto i tecnici Microsoft spiegano che per scongiurare rischi di aggressione dei propri DNS basati su Windows Server basta modificare la configurazione del registro di sistema e impostare a 1.221 byte la dimensione massima del singolo pacchetto UDP.

Dal prompt dei comandi aperto con i diritti di amministratore basta digitare quanto segue per mettersi al riparo sui sistemi Windows Server con DNS Microsoft attivato:

reg add HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v MaximumUdpPacketSize /t REG_DWORD /d 1221