Patch day Microsoft di giugno 2022: risolta anche la vulnerabilità Follina

Come ogni mese eccoci a fare il punto sulle vulnerabilità che Microsoft ha risolto nei suoi software.
Il patch day Microsoft di giugno 2022 ha fatto registrare il rilascio di un totale di 55 aggiornamenti di sicurezza. Con il suo intervento l’azienda di Redmond risolve una falla zero day già nota ai criminali informatici e 3 vulnerabilità a elevata criticità.

La lacuna di sicurezza zero day è l’attacco conosciuto con l’appellativo Follina del quale abbiamo parlato nei giorni scorsi.

Conosciuto con l’identificativo CVE-2022-30190, il problema riguarda tutte le versioni di Windows ed è molto utilizzato dagli aggressori per disporre l’esecuzione di codice arbitrario sui sistemi delle vittime senza alcun tipo di interazione da parte degli utenti.
La falla è insita nel componente Windows Support Diagnostic Tool (MSDT), utilizzato per inviare a Microsoft informazioni sui crash delle applicazioni in esecuzione. Predisponendo un documento Office malevolo un aggressore remoto può dapprima provocare il crash della suite per l’ufficio quindi sfruttare l’evento per eseguire codice dannoso con MSDT.

Nel nostro articolo, citato in precedenza, avevamo spiegato come disattivare temporaneamente MSDT: adesso, però, la patch ufficiale Microsoft consente di sanare la problematica di sicurezza.

Il ricercatore che ha scoperto il bug, già sfruttato per lanciare attacchi informatici mirati, ha assegnato il nome Follina dal nome dell’omonima località in provincia di Treviso. Perché? Perché il file malevolo scoperto tramite VirusTotal aveva il nome 05-2022-0438.doc. I primi caratteri sono un evidente riferimento alla falla scoperta a maggio di quest’anno; 0438 può corrispondere al prefisso telefonico di Follina (peraltro condiviso con altre cittadine venete). Da qui la scelta della denominazione.

Tra le altre vulnerabilità più rilevanti questo mese c’è un problema di sicurezza che riguarda Hyper-V (CVE-2022-30163): un aggressore può eseguire un’applicazione “ad hoc” in una macchina virtuale e superarne i “confini” così da caricare codice arbitrario sul sistema ospitante (host).

Microsoft ha poi risolto una serie di vulnerabilità (vedere ad esempio CVE-2022-30139) nell’implementazione del protocollo LDAP (Lightweight Directory Access Protocol) che potrebbero portare all’esecuzione di codice in modalità remota. Un utente malintenzionato potrebbe sfruttare queste vulnerabilità inducendo una vittima autenticata a connettersi a un server LDAP dannoso.

Nuovamente oggetto di correzione anche NFS (Windows Network File System): con un punteggio di gravità quasi massimo (9,8 punti su una scala di 10), Microsoft corregge una vulnerabilità in NFSv4.1 che può essere utilizzata per eseguire codice in modalità remota. La falla CVE-2022-30136) riguarda soltanto le macchine che usano NFS (per impostazione predefinita risulta disabilitato). In un altro articolo abbiamo visto cos’è NFS e perché i problemi di sicurezza che riguardano questo componente sono pericolosi.

Rilevante anche una vulnerabilità in SharePoint (CVE-2022-30157) che tuttavia può essere sfruttata soltanto previa autenticazione sul server vulnerabile. Se la vittima fa clic su una pagina specifica potrebbe attivare ed eseguire codice dannoso.

Dopo tanto tempo che Microsoft non metteva mano a SQL Server, l’azienda risolve anche una vulnerabilità sfruttabile a distanza individuata nel noto RDBMS: CVE-2022-29143.

Al solito la lista completa delle vulnerabilità risolte questo mese può essere consultata su ISC SANS mentre i ricercatori di Cisco Talos si sono concentrati sulle problematiche più importanti.