Rilascio aggiornamenti di sicurezza Microsoft, Adobe e Chrome – Dicembre 2019

11/12/2019

Adobe Chrome CVE-2019-1458 Microsoft PatchTuesday

Microsoft ha rilasciato la sua serie mensile di avvisi di sicurezza per le vulnerabilità che sono state identificate in vari prodotti e risolte tramite rilascio di software correttivo. Nello specifico l’aggiornamento interessa 25 nuove vulnerabilità, di cui 2 valutate come critiche, 23 valutate come importanti.

Il rilascio include aggiornamenti per i prodotti:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office and Microsoft Office Services and Web Apps
  • SQL Server
  • Visual Studio
  • Skype for Business

Vulnerabilità critiche

Di seguito si riportano le 2 vulnerabilità critiche:

CVE-2019-1468 è una vulnerabilità, legata all’esecuzione di codice in modalità remota nella libreria di caratteri di Windows, causata dalla gestione errata di alcuni caratteri incorporati nella libreria stessa. Un utente malintenzionato può sfruttare questo errore utilizzando un carattere dannoso appositamente predisposto in una pagina Web, quindi indurre l’utente a visitare quella pagina Web. In alternativa, un utente dovrebbe aprire localmente un file di caratteri appositamente predisposto.

CVE-2019-1471 è una vulnerabilità legata all’esecuzione di codice in modalità remota in Hyper-V che, in alcune circostanze, non riesce a convalidare correttamente l’input di un utente autenticato su un sistema operativo guest. Un utente malintenzionato può sfruttare questa vulnerabilità eseguendo un’applicazione appositamente predisposta su un sistema operativo guest, il che farebbe eseguire al sistema operativo host Hyper-V un codice arbitrario sul sistema operativo host.

Vulnerabilità importanti

Tra le 23 vulnerabilità classificate come importanti, si evidenziano le seguenti: 

CVE-2019-1458 è una vulnerabilità che consente un’elevazione dei privilegi nel componente Win32k di Windows. Un utente malintenzionato può sfruttare questa vulnerabilità accedendo a un sistema quindi, eseguendo un’applicazione appositamente predisposta, potrebbe assumere il controllo completo del sistema ed eseguire codice arbitrario in modalità kernel. Microsoft segnala che questa vulnerabilità è stata oggetto di exploit, in particolare su Google Chrome (cfr. approfondimento).

CVE-2019-1469 è una vulnerabilità legata alla divulgazione di informazioni in Windows che si presenta quando il componente win32k non riesce a fornire informazioni sul kernel. Un utente malintenzionato può sfruttare questa vulnerabilità per accedere alla memoria non inizializzata e alla memoria del kernel, che potrebbe quindi essere utilizzata in attacchi aggiuntivi.

CVE-2019-1485 è una vulnerabilità legata all’esecuzione di codice in modalità remota nel motore VBscript. Un utente malintenzionato può sfruttare questa vulnerabilità per corrompere la memoria del sistema interessato in modo da consentire l’esecuzione di codice arbitrario nel contesto dell’utente corrente. Per attivare questa vulnerabilità, un utente dovrebbe visitare tramite Internet Explorer un sito Web appositamente predisposto. Un utente malintenzionato potrebbe anche incorporare un controllo ActiveX contrassegnato come “sicuro per l’inizializzazione” in un’applicazione o in un documento di Microsoft Office che utilizza il motore di rendering di Internet Explorer e quindi indurre l’utente ad aprire tale file.

Le altre vulnerabilità importanti sono:

  • CVE-2019-1332 | Microsoft SQL Server Reporting Services XSS Vulnerability
  • CVE-2019-1400 | Microsoft Access Information Disclosure Vulnerability
  • CVE-2019-1453 | Windows Remote Desktop Protocol (RDP) Denial of Service Vulnerability
  • CVE-2019-1461 | Microsoft Word Denial of Service Vulnerability
  • CVE-2019-1462 | Microsoft PowerPoint Remote Code Execution Vulnerability
  • CVE-2019-1463 | Microsoft Access Information Disclosure Vulnerability
  • CVE-2019-1464 | Microsoft Excel Information Disclosure Vulnerability
  • CVE-2019-1465 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1466 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1467 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1470 | Windows Hyper-V Information Disclosure Vulnerability
  • CVE-2019-1472 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-1474 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-1476 | Windows Elevation of Privilege Vulnerability
  • CVE-2019-1477 | Windows Printer Service Elevation of Privilege Vulnerability
  • CVE-2019-1478 | Windows COM Server Elevation of Privilege Vulnerability
  • CVE-2019-1480 | Windows Media Player Information Disclosure Vulnerability
  • CVE-2019-1481 | Windows Media Player Information Disclosure Vulnerability
  • CVE-2019-1483 | Windows Elevation of Privilege Vulnerability
  • CVE-2019-1484 | Windows OLE Remote Code Execution Vulnerability

Vulnerabilità Adobe

Lo scorso 10 dicembre 2019, anche Adobe ha rilasciato gli aggiornamenti mensili di sicurezza che risolvono le vulnerabilità individuate nei loro prodotti. Il software correttivo interessa principalmente le vulnerabilità di prodotti come Adobe Acrobat e Reader, Adobe Photoshop, Adobe Brackets e Adobe ColdFusion

Per maggiori dettagli sulle vulnerabilità, sui prodotti impattati, sulle possibili contromisure e sugli aggiornamenti disponibili, si raccomanda di consultare i bollettini di sicurezza di Adobe di seguito riportati:

  • APSB19-55 Aggiornamento di sicurezza per Adobe Acrobat e Reader
  • APSB19-56 Aggiornamento di sicurezza per Adobe Photoshop
  • APSB19-57 Aggiornamento di sicurezza per Adobe Brackets
  • APSB19-58 Aggiornamento di sicurezza per Adobe ColdFusion

Vulnerabilità Chrome

Anche Chrome ha rilasciato gli aggiornamenti di sicurezza che risolvono alcune vulnerabilità. Con la versione 79.0.3945.79 in roll-out in queste ore, Google ha sanato molte vulnerabilità di cui:

  • 2 Considerate critiche
  • 8 Considerate importanti
  • 27 Considerate a gravità medio/bassa

Approfondimento Chrome (CVE-2019-1458)

I ricercatori di Kaspersky hanno rilevato una vulnerabilità di tipo 0-Day che interessa Google Chrome. Il bug, associato al CVE-2019-1458 risulta già sfruttata in una campagna chiamata Operation WizardOpium ed emerge la disponibilità di un exploit può permettere di sfruttare la falla per ottenere privilegi più elevati sulla macchina infetta così da sfuggire ai controlli del processo sandbox di Chrome.

L’exploit consiste in due fasi:

  • un piccolo loader PE
  • l’exploit vero e proprio.

Dopo una prima lettura / scrittura nel processo di rendering del browser tramite il codice JS vulnerabile, l’exploit PE corrompe alcuni puntatori in memoria per reindirizzare l’esecuzione del codice al loader PE utile per aggirare le restrizioni sandbox del browser.

Il loader PE individua un file DLL incorporato con l’exploit effettivo e ripete lo stesso processo del loader PE Windows nativo.

Successivamente, un’esecuzione del codice viene reindirizzata al punto di ingresso della DLL (DllEntryPoint), assegnando un nuovo thread che diventa un punto di ingresso per l’exploit stesso. I ricercatori hanno dimostrato che la vulnerabilità interessa il driver win32k.sys e che l’exploit funziona con le ultime versioni (anche aggiornate) di Windows 7 oltre che su alcune build di Windows 10. Per maggiori dettagli si rimanda alla ricerca.

Raccomandazioni

I rilasci del mese corrente sono già disponibili, per ulteriori informazioni si consiglia di consultare il bollettino di sicurezza Microsoft e provvedere all’aggiornamento del software impattato.

Si ricorda inoltre di prendere visione dei sotto indicati documenti riguardanti i prodotti Microsoft, per i quali terminerà il supporto: