Rilascio aggiornamenti Microsoft e Adobe – Agosto 2018

16/08/2018

Adobe Microsoft PatchTuesday
 
Microsoft ha rilasciato la sua serie mensile di avvisi di sicurezza per le vulnerabilità che sono state identificate in vari prodotti e risolte tramite rilascio di software correttivo. Nello specifico l’aggiornamento interessa 60 nuove vulnerabilità, di cui 20 valutate come critiche, 38 valutate come importanti, 1 di media e 1 di bassa gravità.
 
Il rilascio include aggiornamenti per i prodotti: Microsoft Windows, Edge, Internet Explorer ed altri.
 
Oltre alle 60 vulnerabilità con impatto sui prodotti interni, Microsoft ha rilasciato un avviso di aggiornamento critico, ADV180020, che affronta la vulnerabilità CVE-2018-12824, CVE-2018-12825, CVE-2018-12826, CVE-2018-12827, CVE-2018-12828 descritte nel bollettino sulla sicurezza APSB18-25 di Adobe.
 
 
Vulnerabilità critiche
Microsoft ha rilasciato aggiornamenti per le seguenti 20 vulnerabilità critiche:
  • CVE-2018-8266 | Chakra Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8273 | Microsoft SQL Server Remote Code Execution Vulnerability 
  • CVE-2018-8302 | Microsoft Exchange Memory Corruption Vulnerability 
  • CVE-2018-8344 | Microsoft Graphics Remote Code Execution Vulnerability 
  • CVE-2018-8345 | LNK Remote Code Execution Vulnerability 
  • CVE-2018-8350 | Windows PDF Remote Code Execution Vulnerability 
  • CVE-2018-8355 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8359 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8371 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8372 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8373 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8377 | Microsoft Edge Memory Corruption Vulnerability 
  • CVE-2018-8380 | Chakra Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8381 | Chakra Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8384 | Chakra Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8385 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8387 | Microsoft Edge Memory Corruption Vulnerability 
  • CVE-2018-8390 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8397 | GDI+ Remote Code Execution Vulnerability 
  • CVE-2018-8403 | Microsoft Browser Memory Corruption Vulnerability 
Vulnerabilità importanti
Microsoft ha rilasciato aggiornamenti per le seguenti 38 vulnerabilità importanti:
  • CVE-2018-0952 | Diagnostic Hub Standard Collector Elevation Of Privilege Vulnerability 
  • CVE-2018-8200 | Device Guard Code Integrity Policy Security Feature Bypass Vulnerability 
  • CVE-2018-8204 | Device Guard Code Integrity Policy Security Feature Bypass Vulnerability 
  • CVE-2018-8253 | Microsoft Cortana Elevation of Privilege Vulnerability 
  • CVE-2018-8316 | Internet Explorer Remote Code Execution Vulnerability 
  • CVE-2018-8339 | Windows Installer Elevation of Privilege Vulnerability 
  • CVE-2018-8340 | AD FS Security Feature Bypass Vulnerability 
  • CVE-2018-8341 | Windows Kernel Information Disclosure Vulnerability 
  • CVE-2018-8342 | Windows NDIS Elevation of Privilege Vulnerability 
  • CVE-2018-8343 | Windows NDIS Elevation of Privilege Vulnerability 
  • CVE-2018-8346 | LNK Remote Code Execution Vulnerability 
  • CVE-2018-8347 | Windows Kernel Elevation of Privilege Vulnerability 
  • CVE-2018-8348 | Windows Kernel Information Disclosure Vulnerability 
  • CVE-2018-8349 | Microsoft COM for Windows Remote Code Execution 
  • CVE-2018-8351 | Microsoft Browser Information Disclosure Vulnerability 
  • CVE-2018-8353 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8357 | Microsoft Browser Elevation of Privilege Vulnerability 
  • CVE-2018-8358 | Microsoft Edge Security Feature Bypass Vulnerability 
  • CVE-2018-8360 | .NET Framework Information Disclosure Vulnerability 
  • CVE-2018-8370 | Microsoft Edge Information Disclosure Vulnerability 
  • CVE-2018-8375 | Microsoft Excel Remote Code Execution Vulnerability 
  • CVE-2018-8376 | Microsoft PowerPoint Remote Code Execution Vulnerability 
  • CVE-2018-8378 | Microsoft Office Information Disclosure Vulnerability 
  • CVE-2018-8379 | Microsoft Excel Remote Code Execution Vulnerability 
  • CVE-2018-8382 | Microsoft Excel Information Disclosure Vulnerability 
  • CVE-2018-8383 | Microsoft Edge Spoofing Vulnerability
  • CVE-2018-8389 | Scripting Engine Memory Corruption Vulnerability 
  • CVE-2018-8394 | Windows GDI Information Disclosure Vulnerability 
  • CVE-2018-8396 | Windows GDI Information Disclosure Vulnerability 
  • CVE-2018-8398 | Windows GDI Information Disclosure Vulnerability 
  • CVE-2018-8399 | Win32k Elevation of Privilege Vulnerability 
  • CVE-2018-8400 | DirectX Graphics Kernel Elevation of Privilege Vulnerability 
  • CVE-2018-8401 | DirectX Graphics Kernel Elevation of Privilege Vulnerability 
  • CVE-2018-8404 | Win32k Elevation of Privilege Vulnerability 
  • CVE-2018-8405 | DirectX Graphics Kernel Elevation of Privilege Vulnerability 
  • CVE-2018-8406 | DirectX Graphics Kernel Elevation of Privilege Vulnerability 
  • CVE-2018-8412 | Microsoft (MAU) Office Elevation of Privilege Vulnerability 
  • CVE-2018-8414 | Windows Shell Remote Code Execution Vulnerability 
Approfondimento
 
Tra le vulnerabilità indicate, quelle considerate facilmente sfruttabili per le quali Microsoft ha rilasciato un indice di sfruttamento uguale ad 1, sono da menzionare le seguenti:
 
CVE-2018-8344 
E’ una vulnerabilità legata all’esecuzione di codice in modalità remota che si presenta quando la libreria di font di Windows non gestisce bene i caratteri incorporati (embedded). Un utente malintenzionato, in grado di sfruttare questa vulnerabilità, può assumere il controllo del sistema interessato. La vulnerabilità può essere sfruttata in diversi modi:
1) attraverso un attacco web: l’utente malintenzionato può convincere la vittima a visitare una pagina web malevola appositamente predisposta;
2) far pervenire alla vittima e convincerla all’apertura di un documento progettato per sfruttare la vulnerabilità.
CVE-2018-8266, CVE-2018-8355, CVE-2018-8380,  CVE-2018-8381 e CVE-2018-8384 
Sono tutte vulnerabilità di esecuzione di codice remoto che si presentano a causa del modo con cui Chakra (il Javascript engine di Edge) gestisce gli oggetti in memoria. Un utente malintenzionato in grado di sfruttare la vulnerabilità può potenzialmente ottenere gli stessi diritti utente dell’utente corrente. Questa vulnerabilità può essere sfruttata in attacchi web-based, dove l’utente vittima viene convinto a visitare una pagina appositamente studiata per sfruttare la vulnerabilità.

Vulnerabilità zero-day già sfrutatte in recenti attacchi
 
CVE-2018-8373 | Scripting Engine Memory Corruption Vulnerability
La vulnerabilità, divulgata per la prima volta il mese scorso da Trend Micro, impatta Internet Explorer 9, 10 in tutte le versioni supportate di Windows da Windows da Server 2008 a Windows 10. La falla di sicurezza risiede nel modo in cui il motore di scripting gestisce gli oggetti in memoria e lo sfruttamento può comportare l’esecuzione di codice, in modalità remota, garantendo gli stessi privilegi dell’utente connesso inclusi quelli diritti amministrativi. Tale difetto potrebbe essere sfruttato dagli aggressori per prendere il controllo dei sistemi vulnerabili, invitando le vittime a visitare un sito Web appositamente predisposto.
 
Internet Explorer è il secondo browser più popolare dopo Google Chrome. È anche particolarmente popolare negli ambienti aziendali, il che significa che eventuali exploit possono potenzialmente essere utilizzati per attaccare aziende e altre grandi organizzazioni.
 
CVE-2018-8414 | Windows Shell Remote Code Execution Vulnerability
Rappresenta la seconda vulnerabilità zero-day ed è legata all’esecuzione di codice ove la shell di Windows non convalida correttamente i percorsi dei file. Lo sfruttamento può comportare l’esecuzione di codice in modalità remota con i privilegi dell’utente connesso. Un utente malintenzionato può eseguire codice arbitrario sul sistema vulnerabile ingannando le vittime ad aprire un file appositamente predisposto ricevuto tramite una e-mail o tramite una pagina web. Questa vulnerabilità, a differenza della precedente, ha impatto solo su Windows 10 1703 e successive, Windows Server 1709 e 1803. Il bug risulterebbe già sfruttato di recente dal gruppo TA505 per distribuire il RAT FlawedAmmy

Vulnerabilità Adobe
 
Lo scorso 14 agosto anche Adobe ha rilasciato gli aggiornamenti mensili di sicurezza che risolvono le vulnerabilità individuate nei loro prodotti. Le patch riguardano principalmente le vulnerabilità di prodotti come Adobe Acrobat e Reader, Adobe Experience Manager, Adobe Flash Player, Adobe Creative Cloud Desktop Application.
 
In totale Adobe ha rilasciato 112 correzioni di sicurezza, 2 per Adobe Flash Player, 3 per Adobe Experience Manager, 3 per Adobe Connect e 104 per Adobe Acrobat e Adobe Reader.
 
Per maggiori dettagli sulle vulnerabilità, sui prodotti affetti, sulle possibili contromisure e sugli aggiornamenti disponibili, si raccomanda agli utenti e agli amministratori di consultare i bollettini di sicurezza di Adobe ai seguenti links:  APSB18-20, APSB18-25, APSB18-26 e APSB18-29.