Rilascio aggiornamenti Microsoft e Adobe – Settembre 2018

12/09/2018

Adobe Microsoft PatchTuesday
 
Microsoft ha rilasciato la sua serie mensile di avvisi di sicurezza per le vulnerabilità che sono state identificate in vari prodotti e risolte tramite rilascio di software correttivo.
 
Nello specifico l’aggiornamento interessa 61 nuove vulnerabilità, di cui 17 valutate come critiche, 43 valutate come importanti e una di media gravità.
Il rilascio include aggiornamenti per i prodotti: Microsoft Windows, Internet Explorer, Microsoft Office, Edge, Office Services and Web Apps, .NET Framework, Microsoft.Data.OData, ASP.NET, Jet Database Engine e il motore di scripting JScript Chakra.
L’aggiornamento mensile include anche la vulnerabilità zero day sulla componente ALPC di Microsoft Windows di cui avevamo parlato lo scorso 28 agosto.
Tra le 61 vulnerabilità con impatto sui prodotti interni, Microsoft ha rilasciato un avviso importante in relazione all’aggiornamento ADV180023, che affronta la vulnerabilità CVE-2018-15967 in Adobe Flash Player 30.0.0.154 e versioni precedenti, così come descritto nel bollettino di sicurezza APSB18-25 pubblicato da Adobe.

Vulnerabilità critiche
Microsoft ha rilasciato aggiornamenti per le seguenti 17 vulnerabilità critiche:
  • CVE-2018-0965 — Windows Hyper-V Remote Code Execution Vulnerability
  • CVE-2018-8367 — Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8420 — MS XML Remote Code Execution Vulnerability
  • CVE-2018-8461 — Internet Explorer Memory Corruption Vulnerability
  • CVE-2018-8475 — Windows Remote Code Execution Vulnerability
  • CVE-2018-8461 — Internet Explorer Memory Corruption Vulnerability
  • CVE-2018-8475 — Windows Remote Code Execution Vulnerability
  • CVE-2018-8332 — Win32k Graphics Remote Code Execution Vulnerability
  • CVE-2018-8391 — Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8439 — Hyper-V Remote Code Execution 
  • CVE-2018-8447 — Internet Explorer Memory Corruption Vulnerability
  • CVE-2018-8456 — Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8459 — Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8457 — Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8464 — Microsoft Edge PDF Remote Code Execution Vulnerability
  • CVE-2018-8465 — Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8466 — Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8467 — Chakra Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8421 — .NET Framework Remote Code Execution Vulnerability
 
Vulnerabilità importanti
Microsoft ha rilasciato aggiornamenti per le seguenti 43 vulnerabilità importanti:
  • CVE-2018-8354 — Scripting Engine Memory Corruption Vulnerability
  • CVE-2018-8392 — Microsoft JET Database Engine Remote Code Execution Vulnerability
  • CVE-2018-8393 — Microsoft JET Database Engine Remote Code Execution Vulnerability
  • CVE-2018-8430 — Word PDF Remote Code Execution Vulnerability
  • CVE-2018-8447 — Internet Explorer Memory Corruption Vulnerability
  • CVE-2018-8331 — Microsoft Excel Remote Code Execution Vulnerability
  • CVE-2018-8315 — Microsoft Scripting Engine Information Disclosure Vulnerability
  • CVE-2018-8335 — Windows SMB Denial of Service Vulnerability
  • CVE-2018-8425 — Microsoft Edge Spoofing Vulnerability
  • CVE-2018-8440 — Windows ALPC Elevation of Privilege Vulnerability
  • CVE-2018-8271 — Windows Information Disclosure Vulnerability
  • CVE-2018-8336 — Windows Kernel Information Disclosure Vulnerability
  • CVE-2018-8337 — Windows Subsystem for Linux Security Feature Bypass Vulnerability
  • CVE-2018-8366 — Microsoft Edge Information Disclosure Vulnerability
  • CVE-2018-8409 — ASP.NET Core Denial of Service
  • CVE-2018-8410 — Windows Registry Elevation of Privilege Vulnerability
  • CVE-2018-8424 — Windows GDI Information Disclosure Vulnerability
  • CVE-2018-8426 — Microsoft Office SharePoint XSS Vulnerability
  • CVE-2018-8428 — Microsoft SharePoint Elevation of Privilege Vulnerability
  • CVE-2018-8429 — Microsoft Excel Information Disclosure Vulnerability
  • CVE-2018-8431 — Microsoft SharePoint Elevation of Privilege Vulnerability
  • CVE-2018-8433 — Microsoft Graphics Component Information Disclosure Vulnerability
  • CVE-2018-8434 — Windows Hyper-V Information Disclosure Vulnerability
  • CVE-2018-8435 — Windows Hyper-V Security Feature Bypass Vulnerability
  • CVE-2018-8436 — Windows Hyper-V Denial of Service Vulnerability
  • CVE-2018-8437 — Windows Hyper-V Denial of Service Vulnerability
  • CVE-2018-8438 — Windows Denial of Service Vulnerability
  • CVE-2018-8441 — Windows ALPC Elevation of Privilege Vulnerability
  • CVE-2018-8442 — Windows Kernel Information Disclosure Vulnerability
  • CVE-2018-8443 — Windows Kernel Information Disclosure Vulnerability
  • CVE-2018-8444 — Windows SMB Information Disclosure Vulnerability
  • CVE-2018-8445 — Windows Kernel Information Disclosure Vulnerability
  • CVE-2018-8446 — Windows Kernel Information Disclosure Vulnerability
  • CVE-2018-8449 — Device Guard Security Feature Bypass Vulnerability
  • CVE-2018-8452 — Scripting Engine Information Disclosure Vulnerability
  • CVE-2018-8455 — Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2018-8462 — DirectX Graphics Kernel Elevation of Privilege Vulnerability
  • CVE-2018-8463 — Microsoft Edge Elevation of Privilege Vulnerability
  • CVE-2018-8468 — Windows Elevation of Privilege Vulnerability
  • CVE-2018-8469 — Microsoft Edge Elevation of Privilege Vulnerability
  • CVE-2018-8470 — Internet Explorer Security Feature Bypass Vulnerability

Approfondimento
Tra le vulnerabilità indicate da Microsoft con un alto indice di sfruttamento sono da menzionare le seguenti:
 
Questa vulnerabilità zero day è legata all’esecuzione di codice in modalità remota quando Internet Explorer accede in modo errato agli oggetti in memoria, permettendo così all’attaccante di eseguire codice arbitrario nel contesto dell’utente corrente e, nel caso in cui l’utente corrente è connesso con diritti di amministratore, ottenere il controllo di un sistema interessato. L’attaccante potrebbe quindi installare programmi, visualizzare, modificare ed eliminare dati, creare nuovi account. La vulnerabilità potrebbe essere sfruttata tramite una pagina web appositamente predisposta o tramite siti web compromessi.
 
Questa vulnerabilità è legata all’esecuzione di codice in modalità remota in Microsoft Excel, a causa della non corretta gestione degli oggetti in memoria.  Il bug potrebbe essere sfruttato facendo aprire  il file malevolo diffuso alle vittime come allegato mail o tramite pagina web.
 
La vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Word 2013 e 2016. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inducendo un utente ad aprire un PDF malevolo appositamente predisposto.
Ulteriori CVE di rilievo, inclusi nel rilascio aggiornamenti del mese corrente, riguardano i seguenti CVE come riportato all’avviso di Yoroi N020918:
 
La falla, insita nella funzionalità di Advanced Local Procedure Call (ALPC) del componente di sistema “Task Scheduler” nelle edizioni Windows da 7 a 10 incluse le versioni server, è stata sfruttata in attacchi recenti da attori malevoli PowerPool” per ottenere privilegi amministrativi all’interno delle macchine bersaglio.
Tramite la vulnerabilità, presente nelle funzioni di gestione dei file di tipo immagine, un attaccante può essere in grado di eseguire codice arbitrario sulla macchina bersaglio. L’interazione utente è comunque necessaria per assicurare lo sfruttamento della criticità ma sono possibili scenari di attacco che invitino all’apertura di immagini appositamente create, ad esempio inviate tramite email o caricate a seguito di navigazione web su portali compromessi.