Rilascio aggiornamenti di sicurezza Microsoft – Luglio 2019

11/07/2019

Microsoft PatchTuesday

Microsoft ha rilasciato la sua serie mensile di avvisi di sicurezza per le vulnerabilità che sono state identificate in vari prodotti e risolte tramite rilascio di software correttivo. Nello specifico l’aggiornamento interessa 77 nuove vulnerabilità, di cui 16 valutate come critiche, 60 come importanti e una moderata. I prodotti interessati dal rilascio di software correttivo sono: Microsoft Windows, Internet Explorer, Edge, Office, Azure DevOps, .NET Framework, Azure, SQL Server, ASP.NET e Visual Studio.

Vulnerabilità critiche

Di seguito si riportano le 16 vulnerabilità critiche:

  • CVE-2019-0785 è una vulnerabilità di corruzione della memoria causata da una gestione non corretta dei pacchetti di rete ricevuti dal servizio DHCP di Windows Server. Un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando pacchetti appositamente predisposti in grado di eseguire codice arbitrario su un DHCP failover (una funzionalità in grado di garantire un’elevata disponibilità del server DHCP) o rendere il servizio DHCP failover non disponibile. L’attacco può avere esito positivo solo se il server DHCP è impostato sulla modalità di failover.
  • CVE-2019-1001 e CVE-2019-1004 sono vulnerabilità di corruzione della memoria causate da una gestione non corretta degli oggetti in memoria da parte del motore di scripting nei browser Microsoft. Un utente malintenzionato potrebbe eseguire codice arbitrario remoto nel contesto dell’utente corrente. Nel caso in cui l’utente corrente sia loggato con i diritti amministrativi, l’attaccante potrebbe prendere il controllo completo del sistema (installare programmi, cancellare file, creare nuovi utenti ecc.). L’attaccante potrebbe anche utilizzare un controllo ActiveX all’interno di applicazioni o documenti Office per il rendering delle pagine web di IE. Per lo sfruttamento della falla, l’attaccante dovrebbe convincere la vittima a visitare un sito web malevolo attraverso un browser Microsoft.
  • CVE-2019-1062, CVE-2019-1092, CVE-2019-1103, CVE-2019-1106 e CVE-2019-1107 sono tutte vulnerabilità di corruzione della memoria causate da una modalità di gestione degli oggetti in memoria non corretta da parte del motore di scripting Chakra Scripting Engine di Microsoft Edge. Le vulnerabilità potrebbe permettere ad un utente malintenzionato di eseguire codice arbitrario da remoto nel contesto dell’utente corrente. Nel caso in cui l’utente corrente sia loggato con i diritti amministrativi, l’attaccante potrebbe prendere il controllo completo del sistema (installare programmi, cancellare file, creare nuovi utenti ecc.). Per lo sfruttamento della falla, l’attaccante dovrebbe convincere la vittima a visitare un sito web malevolo con Microsoft Edge.
  • CVE-2019-1113 è una vulnerabilità causata da un mancato controllo del codice sorgente da parte del framework .NET. Un utente malintenzionato potrebbe essere in grado di eseguire codice da remoto nel contesto dell’utente corrente, inviando alla vittima un file appositamente predisposto per una versione del Framework .NET vulnerabile. L’attaccante potrebbe prendere il controllo completo del sistema (installare programmi, cancellare file, creare nuovi utenti ecc.) nel caso in cui la vittima abbia i privilegi amministrativi.

Altre vulnerabilità critiche di seguito sintetizzate:

  • CVE-2019-1006 | WCF/WIF SAML Token Authentication Bypass Vulnerability
  • CVE-2019-1056 | Scripting Engine Memory Corruption Vulnerability
  • CVE-2019-1059 | Scripting Engine Memory Corruption Vulnerability
  • CVE-2019-1063 | Internet Explorer Memory Corruption Vulnerability
  • CVE-2019-1072 | Azure DevOps Server and Team Foundation Server Remote Code Execution Vulnerability
  • CVE-2019-1102 | GDI+ Remote Code Execution Vulnerability
  • CVE-2019-1104 | Microsoft Browser Memory Corruption Vulnerability

Vulnerabilità importanti

Tra le 60 vulnerabilità classificate come importanti, evidenziamo le seguenti: 

  • CVE-2018-15664 è una vulnerabilità di privilege escalation del comando “docker cp”, eseguito tramite un endpoint API di un docker container.  In caso di attacco “symlink-exchange”, un utente malintenzionato remoto potrebbe ottenere l’accesso arbitrario in lettura e scrittura al file system dell’host con privilegi di root. La falla influisce sui dispositivi di Azure IoT Edge e sul servizio Azure Kubernetes. La vulnerabilità è ancora in corso di risoluzione, pertanto Microsoft consiglia ai clienti di non utilizzare il comando “cp docker” sui propri cluster AKS (Azure Kubernetes Service) e sui dispositivi IoT di Azure.
  • CVE-2019-1132 è una vulnerabilità di tipo privilege escalation, già sfruttata “in the wild” lo scorso giugno 2019, che si verifica a causa di una gestione non corretta degli oggetti in memoria da parte del componente “win32” di Windows. Un attaccante potrebbe sfruttare questa falla per eseguire codice arbitrario remoto in modalità kernel. Poichè l’exploit dello zero day funziona solo con le vecchie versioni di Windows, il CERT-PA consiglia di applicare urgentemente l’aggiornamento e in particolare, per quanto riguarda Windows 7 32-bit service pack 1, è consigliabile prendere in considerazione l’aggiornamento a sistemi operativi più recenti dal momento che il supporto esteso di Windows 7 Service Pack 1 terminerà il 14 gennaio 2020.

Le altre vulnerabilità importanti sono:

  • CVE-2019-0811 | Windows DNS Server Denial of Service Vulnerability
  • CVE-2019-0865 | SymCrypt Denial of Service Vulnerability
  • CVE-2019-0880 | Microsoft splwow64 Elevation of Privilege Vulnerability
  • CVE-2019-0887 | Remote Desktop Services Remote Code Execution Vulnerability
  • CVE-2019-0962 | Azure Automation Elevation of Privilege Vulnerability
  • CVE-2019-0966 | Windows Hyper-V Denial of Service Vulnerability
  • CVE-2019-0975 | ADFS Security Feature Bypass Vulnerability
  • CVE-2019-0999 | DirectX Elevation of Privilege Vulnerability
  • CVE-2019-1037 | Windows Error Reporting Elevation of Privilege Vulnerability
  • CVE-2019-1067 | Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2019-1068 | Microsoft SQL Server Remote Code Execution Vulnerability
  • CVE-2019-1071 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-1073 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-1074 | Microsoft Windows Elevation of Privilege Vulnerability
  • CVE-2019-1076 | Team Foundation Server Cross-site Scripting Vulnerability
  • CVE-2019-1077 | Visual Studio Elevation of Privilege Vulnerability
  • CVE-2019-1079 | Visual Studio Information Disclosure Vulnerability
  • CVE-2019-1082 | Microsoft Windows Elevation of Privilege Vulnerability
  • CVE-2019-1083 | .NET Denial of Service Vulnerability
  • CVE-2019-1084 | Microsoft Exchange Information Disclosure Vulnerability
  • CVE-2019-1085 | Windows WLAN Service Elevation of Privilege Vulnerability
  • CVE-2019-1086 | Windows Audio Service Elevation of Privilege Vulnerability
  • CVE-2019-1087 | Windows Audio Service Elevation of Privilege Vulnerability
  • CVE-2019-1088 | Windows Audio Service Elevation of Privilege Vulnerability
  • CVE-2019-1089 | Windows RPCSS Elevation of Privilege Vulnerability
  • CVE-2019-1090 | Windows dnsrlvr.dll Elevation of Privilege Vulnerability
  • CVE-2019-1091 | Microsoft unistore.dll Information Disclosure Vulnerability
  • CVE-2019-1093 | DirectWrite Information Disclosure Vulnerability
  • CVE-2019-1094 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1095 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1096 | Win32k Information Disclosure Vulnerability
  • CVE-2019-1097 | DirectWrite Information Disclosure Vulnerability
  • CVE-2019-1098 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1099 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1100 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1101 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1108 | Remote Desktop Protocol Client Information Disclosure Vulnerability
  • CVE-2019-1109 | Microsoft Office spoofing Vulnerability
  • CVE-2019-1110 | Microsoft Excel Remote Code Execution Vulnerability
  • CVE-2019-1111 | Microsoft Excel Remote Code Execution Vulnerability
  • CVE-2019-1112 | Microsoft Excel Information Disclosure Vulnerability
  • CVE-2019-1116 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-1117 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1118 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1119 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1120 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1121 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1122 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1123 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1124 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1126 | ADFS Security Feature Bypass Vulnerability
  • CVE-2019-1127 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1128 | DirectWrite Remote Code Execution Vulnerability
  • CVE-2019-1129 | Windows Elevation of Privilege Vulnerability
  • CVE-2019-1130 | Windows Elevation of Privilege Vulnerability
  • CVE-2019-1134 | Microsoft Office SharePoint xss Vulnerability
  • CVE-2019-1136 | Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2019-1137 | Microsoft Exchange Server spoofing Vulnerability

Vulnerabilità Moderate

L’unica vulnerabilità classificata come “moderata” è identificata dal  CVE-2019-1075 e riguarda all’intercettazione di informazioni in Windows Event Manager.

Raccomandazioni

I rilasci del mese corrente sono già disponibili, per ulteriori informazioni si consiglia di consultare il bollettino di sicurezza Microsoft e provvedere all’aggiornamento del software impattato.