Immancabilmente, anche il secondo martedì del mese di settembre 2017 è il giorno scelto da Microsoft per avviare la distribuzione degli aggiornamenti di sicurezza per i propri prodotti software. L’ex-Patch Tuesday di questo mese è particolarmente ricco di falle 0-day, con una delle suddette vulnerabilità già attivamente sfruttate dai cyber-criminali per attaccare i sistemi basati su Windows.
Nel complesso, gli aggiornamenti distribuiti da Redmond includono fix per ben 82 vulnerabilità di sicurezza individuate nei sistemi operativi Windows (da 7 in su), Windows Server, Internet Explorer, Edge, la suite Office, Skype per Business, Lync, Exchange Server, Flash Player (rilasciato in partnership con Adobe) e altro ancora.
Di particolare importanza risulta essere l’update per la falla 0-day classificata come CVE-2017-8759 , un problema di sicurezza scovato da FireEye all’interno del framework.NET e potenzialmente sfruttabile per prendere il controllo da remoto di un sistema vulnerabile e installare programmi, visualizzare o modificare dati, creare nuovi account con pieni privilegi di accesso e altro ancora. Quel che è peggio, dicono i ricercatori, il bug è già stato sfruttato da ignoti cyber-criminali russi per distribuire lo spyware FinFisher .
Le patch di settembre 2017 riguardano poi altri tre bachi di sicurezza già noti , anche se in questo caso non si conoscono attacchi già attivi: CVE-2017-8723 permette di bypassare le misure di sicurezza del browser Edge, CVE-2017-9417 può portare all’esecuzione di codice malevolo da remoto a causa dell’errata gestione della memoria da parte del chipset Broadcom incluso nel caschetto AR HoloLens, CVE-2017-8746 bypassa la sicurezze di Device Guard per eseguire codice malevolo in una sessione PowerShell.
L’ultimo Patch Tuesday include infine i dettagli su una patch già distribuita a luglio contro le famigerate vulnerabilità BlueBorne ( CVE-2017-8628 ), un problema potenzialmente disastroso riguardante tutti i sistemi compatibili con Bluetooth (5,3 miliardi di dispositivi, PC Windows inclusi) e che Microsoft ha già corretto in silenzio. Le informazioni dettagliate sulla falla sono state distribuite solo ora per dare il tempo ai partner della corporation di correre ai ripari.
Alfonso Maruccia