Patch day Microsoft di giugno: due vulnerabilità davvero critiche, soprattutto su Windows Server

In occasione del “patch day” di giugno 2018 Microsoft ha rilasciato ben 50 aggiornamenti di sicurezza per Internet Explorer, Edge, ChakraCore, Hyper-V Server, Windows, Office e servizi correlati: 11 sono indicate come “critiche” mentre le restanti 39 di livello importante.

Purtroppo, da quando Microsoft ha deciso di distribuire attraverso Windows Update pacchetti di aggiornamento cumulativi che integrano tutte le patch del mese, non vengono pubblicati neppure i bollettini con la puntuale disamina di ciascun update.

Le vulnerabilità più gravi a livello server, in Cortana e JScript

Risalendo ai dettagli dei singoli aggiornamenti si scopre che una delle vulnerabilità più gravi, sanabili mediante l’installazione delle patch di questo mese, riguarda tutti i sistemi Windows ma, in prima istanza, rappresenta una vera e propria minaccia per chi gestisce macchine Windows Server.

La libreria DNSAPI.dll, presente nella cartella di sistema di tutte le versioni di Windows, si occupa della risoluzione dei nomi a dominio. Un aggressore che riuscisse a inviare una richiesta di risoluzione preparata “ad arte” in modo da sfruttare la lacuna di sicurezza, può eseguire codice dannoso con i diritti SYSTEM, quelli più ampi in assoluto.
È ovvio che la falla, brevemente documentata da Microsoft in questa pagina, diventa ancora più pericolosa se una macchina Windows Server esponesse il server DNS Microsoft sull’IP pubblico (la porta predefinita è la 53). In questo caso, infatti, un aggressore remoto potrebbe direttamente aggredire la macchina ed eseguirvi codice nocivo.

Molto simile è la falla scoperta nel file HTTP.sys che si occupa di gestire le connessioni HTTP da e verso i client collegati. Ad essere interessate dalla problematica sono le macchine Windows Server 2016, i sistemi basati su Windows Server Core e Windows 10 (ove fosse stato installato IIS).
In questo caso un aggressore remoto può inviare un pacchetto dati malevolo capace di determinare l’esecuzione di codice dannoso sul server web con gli stessi ampi privilegi di HTTP.sys.
Il problema è documentato a questo indirizzo.

Molto grave anche la vulnerabilità individuata nell’assistente digitale Cortana: un aggressore che disponesse fisicamente dell’altrui sistema può impartire comandi vocali per eseguire azioni con i privilegi più elevati possibile. Si tratta di una modalità di attacco che era stata più volte oggetto di analisi in passato (Cortana permette di superare la schermata di logon e di visitare siti web) e che se combinata con un’aggressione come il Dolphin Attack (Come trarre in inganno gli assistenti digitali quali Google Assistant, Alexa, Siri e Cortana con gli ultrasuoni) può diventare davvero pericolosa (maggiori informazioni in questo documento).

Infine, tra le lacune di sicurezza più gravi, l’ennesimo bug nella libreria JScript utilizzata nel vecchio Internet Explorer ma che può essere sfruttato anche inserendo codice dannoso nei documenti Office. Sui sistemi non aggiornati può verificarsi l’esecuzione di codice dannoso con gli stessi privilegi dell’utente correntemente in uso in Windows: ennesimo promemoria per adoperare – durante le attività di ogni giorno – un account utente sprovvisto dei privilegi di amministratore (vedere questa pagina per qualche informazione aggiuntiva).

È facile ipotizzare che delle prime due vulnerabilità si tornerà a parlare molto presto. Fortunatamente al momento le vulnerabilità non sono state ancora sfruttate dai criminali informatici e Microsoft non è a conoscenza di alcun tentativo di aggressione. È lecito attendersi, però, che il reverse engineering degli aggiornamenti di sicurezza sia già cominciato.