Rilascio aggiornamenti di sicurezza Microsoft – Marzo 2019

13/03/2019

Microsoft PatchTuesday

Microsoft ha rilasciato la sua serie mensile di avvisi di sicurezza per le vulnerabilità che sono state identificate in vari prodotti e risolte tramite rilascio di software correttivo. Nello specifico l’aggiornamento interessa 64 nuove vulnerabilità, di cui 17 valutate come critiche, 45 come importanti, una moderata e una bassa. I prodotti interessati dal rilascio di software correttivo sono: Windows, Internet Explorer, Edge, Office, SharePoint, Chakra Scripting Engine, Skype for Business, Visual Studio e Adobe Flash Player.

Vulnerabilità critiche

Microsoft ha rilasciato aggiornamenti per le seguenti 17 vulnerabilità critiche:

  • CVE-2019-0592 è una vulnerabilità di tipo “remote code execution” legata al modo in cui il motore di scripting Chakra gestisce gli oggetti in memoria. Tale vulnerabilità potrebbe danneggiare la memoria del browser Microsoft Edge e permettere ad un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente corrente. L’attaccante potrebbe essere in grado di ottenere il controllo dell’intero sistema, nel caso in cui l’utente corrente possieda i diritti di amministratore. L’attacco potrebbe aver luogo in seguito alla visita, con Edge, di una pagina web malevola appositamente predisposta
  • CVE-2019-0763 è una vulnerabilità di corruzione della memoria legata al modo in cui Internet Explorer gestisce gli oggetti in memoria. Un attaccante potrebbe sfruttare la falla per indurre un utente a visitare pagine malevoli
  • CVE-2019-0756 è una vulnerabilità di tipo “remote code execution” che affligge il parser Microsoft XML Core Services MSXML
  • CVE-2019-0609, CVE-2019-0639, CVE-2019-0680, CVE-2019-0769, CVE-2019-0770, CVE-2019-0771 e CVE-2019-0773 sono tutte vulnerabilità di tipo “memory corruption” nel motore di scripting di Microsoft dovute al modo in cui Edge gestisce gli oggetti in memoria. Le vulnerabilità potrebbero danneggiare la memoria del browser Microsoft Edge e permettere ad un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente corrente. Per lo sfruttamento della falla, l’attaccante dovrebbe convincere la vittima a visitare un sito web malevolo attraverso Edge o a cliccare su contenuti appositamente predisposti
  • CVE-2019-0784 è una vulnerabilità di tipo “remote code execution” causata dal modo in cui ActiveX data Objects (ADO) gestisce gli oggetti in memoria. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato, inducendo la vittima a visitare un sito web malevolo attraverso Internet Explorer o un controllo ActiveX marcato come “sicuro per l’inizializzazione” in un’applicazione o documento Office che ospita il motore di rendering Internet Explorer
  • CVE-2019-0603 è una vulnerabilità di tipo “remote code execution” che affligge Windows Deployment Services TFTP Server. Il bug risiede nel modo in cui server gestisce gli oggetti in memoria. L’attaccante potrebbe sfruttare la vulnerabilità per eseguire codice arbitrario da remoto sulla macchina della vittima

Altre vulnerabilità critiche:

  • CVE-2019-0697 | Windows DHCP Client Remote Code Execution Vulnerability
  • CVE-2019-0698 | Windows DHCP Client Remote Code Execution Vulnerability
  • CVE-2019-0726 | Windows DHCP Client Remote Code Execution Vulnerability
  • CVE-2019-0666 | Windows VBScript Engine Remote Code Execution Vulnerability
  • CVE-2019-0667 | Windows VBScript Engine Remote Code Execution Vulnerability

Vulnerabilità importanti

Tra le vulnerabilità importanti risolte in questo Patch Tuesday, troviamo due diversi zero-day (CVE-2019-0808 e CVE-2019-0797) che permettono l’escalation di privilegi nel driver del kernel win32k.sys di Windows e quindi di superare la “security sandbox” del sistema operativo. In particolare, il CVE-2019-0808 è stato sfruttato “in-the-wild” contro i sistemi Windows 7 a 32 bit in combinazione con un problema di gravità elevata (CVE-2019-5786) sul browser Chrome, già segnalato nella news del CERT-PA del 6 marzo.

La seconda vulnerabilità (CVE-2019-0797), scoperto dai ricercatori di sicurezza Vasily Berdnikov e Boris Larin di Kaspersky Labs, è simile al precedente ma può essere sfruttato sui sistemi Windows 10, 8.1, Server 2012, 2016 e 2019.

Le altre vulnerabilità importanti sono:

  • CVE-2019-0784 | Windows ActiveX Remote Code Execution Vulnerability
  • CVE-2019-0611 | Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2019-0612 | Microsoft Edge Security Feature Bypass Vulnerability
  • CVE-2019-0614 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-0617 | Jet Database Engine Remote Code Execution Vulnerability
  • CVE-2019-0665 | Windows VBScript Engine Remote Code Execution Vulnerability
  • CVE-2019-0678 | Microsoft Edge Elevation of privilege Vulnerability
  • CVE-2019-0682 | Windows Subsystem for Linux Elevation of privilege Vulnerability
  • CVE-2019-0683 | Active Directory Elevation of Privilege Vulnerability
  • CVE-2019-0689 | Windows Subsystem for Linux Elevation of Privilege Vulnerability
  • CVE-2019-0690 | Windows Hyper-V Denial of Service Vulnerability
  • CVE-2019-0692 | Windows Subsystem for Linux Elevation of Privilege Vulnerability
  • CVE-2019-0693 | Windows Subsystem for Linux Elevation of Privilege Vulnerability
  • CVE-2019-0694 | Windows Subsystem for Linux Elevation of Privilege Vulnerability
  • CVE-2019-0695 | Windows Hyper-V Denial of Service Vulnerability
  • CVE-2019-0696 | Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2019-0701 | Windows Hyper-V Denial of Service Vulnerability
  • CVE-2019-0702 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-0703 | Windows SMB Information Disclosure Vulnerability
  • CVE-2019-0704 | Windows SMB Information Disclosure Vulnerability
  • CVE-2019-0746 | Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2019-0748 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability
  • CVE-2019-0754 | Windows Denial of Service Vulnerability
  • CVE-2019-0755 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-0757 | NuGet Package Manager Tampering Vulnerability
  • CVE-2019-0759 | Windows Print Spooler Information Disclosure Vulnerability
  • CVE-2019-0761 | Internet Explorer Security Feature Bypass Vulnerability
  • CVE-2019-0762 | Microsoft Browsers Security Feature Bypass Vulnerability
  • CVE-2019-0765 | Comctl32 Remote Code Execution Vulnerability
  • CVE-2019-0766 | Microsoft Windows Elevation of privilege Vulnerability
  • CVE-2019-0767 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-0768 | Internet Explorer Security Feature Bypass Vulnerability
  • CVE-2019-0772 | Windows VBScript Engine Remote Code Execution Vulnerability
  • CVE-2019-0774 | Windows GDI Information Disclosure Vulnerability
  • CVE-2019-0775 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-0776 | Win32k Information Disclosure Vulnerability
  • CVE-2019-0778 | Microsoft Office SharePoint XSS Vulnerability
  • CVE-2019-0779 | Microsoft Edge Memory Corruption Vulnerability
  • CVE-2019-0780 | Microsoft Browser Memory Corruption Vulnerability
  • CVE-2019-0782 | Windows Kernel Information Disclosure Vulnerability
  • CVE-2019-0783 | Scripting Engine Memory Corruption Vulnerability
  • CVE-2019-0798 | Skype for Business and Lync spoofing Vulnerability
  • CVE-2019-0809 | Visual Studio Remote Code Execution Vulnerability
  • CVE-2019-0821| Windows SMB Information Disclosure Vulnerability

Vulnerabilità moderata e bassa

In questa release esiste una sola vulnerabilità di tipo “moderate” (CVE-2019-0816) relativa ad una funzionalità in grado di bypassare la sicurezza delle chiavi SSH di Azure. L’unica vulnerabilità con gravità bassa (CVE-2019-0777) riguarda invece un Cross-Site-Scripting (xss) dovuto ad un controllo errato sull’input da parte di Microsoft Team Fondation Server.

Raccomandazioni

I rilasci del mese corrente sono già disponibili, per ulteriori informazioni si consiglia di consultare il bollettino di sicurezza Microsoft e provvedere all’aggiornamento del software impattato.