Hai installato l'ultimo batch di aggiornamenti di maggio di Microsoft 2021 Patch Martedì? Se non l'hai fatto, dovresti farlo il prima possibile, poiché contiene correzioni per quattro falle di sicurezza critiche.
Maggio 2021 Patch Martedì
Complessivamente, questo Patch Tuesday è piuttosto “modesto,"Contenente correzioni solo per 55 difetti. Infatti, questo è il lotto più piccolo di patch di Microsoft dallo scorso anno. Ma una delle vulnerabilità è piuttosto preoccupante, in quanto crea un'opportunità wormable per gli attori delle minacce. Non ci sono indicazioni che nessuna delle vulnerabilità affrontate questo mese sia sfruttata in natura.
Così, quali sono le quattro vulnerabilità critiche che Microsoft ha risolto questo mese?
- CVE-2021-31166: Un difetto dello stack di protocollo HTTP wormable in Windows 10 e alcune versioni di Windows Server che potrebbero portare all'esecuzione di codice in modalità remota (RCE) attacchi;
- CVE-2021-26419: Un difetto di danneggiamento della memoria del motore di scripting che risiede in Internet Explorer 11 e 9 consentendo RCE;
- CVE-2021-31194: Un bug RCE che si trova in Microsoft Windows Object Linking and Embedding (NO) Automazione;
- CVE-2021-28476: Una vulnerabilità RCE scoperta in Microsoft Windows Hyper-V.
CVE-2021-31166
La più pericolosa di queste vulnerabilità è CVE-2021-31166, il problema critico contro i worm. Secondo Ricercatori di sicurezza di Automox, sullo sfruttamento, questo difetto potrebbe consentire ad aggressori non autenticati di spendere pacchetti dannosi su un server mirato utilizzando lo stack del protocollo HTTP (http.sys) per elaborare i pacchetti ed eseguire codice arbitrario. Ciò potrebbe quindi portare a prendere il controllo del sistema mirato. Microsoft ha anche aggiunto che la vulnerabilità è simile a un worm, e che potrebbe essere distribuito per auto-replicarsi attraverso la rete interna, compromettere i servizi interni all'interno dell'organizzazione.
La crescente minaccia degli exploit wormable
In una conversazione con Threatpost, Kevin Breen di Immersive Labs ha affermato che la vulnerabilità CVE-2021-31166 è di primaria importanza per gli operatori di ransomware.
Una delle famiglie di ransomware aggiornato con una funzionalità wormable è Ryuk. La capacità consente al ransomware di diffondersi su reti compromesse, rendendolo ancora più pericoloso. La nuova capacità dannosa nel ransomware è stata scoperta dall'ANSSI a marzo. “Un campione Ryuk con funzionalità simili a worm che gli consentono di diffondersi automaticamente all'interno delle reti che infetta,è stato scoperto durante una risposta a un incidente gestita dall'ANSSI all'inizio del 2021 ", condividono i ricercatori.
Un altro esempio di un recente malware simile a un worm interessa i dispositivi Android. Il malware è in grado di rispondere automaticamente ai messaggi WhatsApp in arrivo di una vittima con un payload ricevuto dal suo server di comando e controllo. La scoperta arriva dalla società di sicurezza Check Point. Secondo il rapporto dei ricercatori, questa capacità avrebbe potuto consentire agli autori delle minacce di diffondere attacchi di phishing, diffondere informazioni false, o rubare credenziali e dati sensibili dagli account WhatsApp delle vittime.
“Gli exploit modificabili dovrebbero sempre essere una priorità assoluta, soprattutto se sono per servizi progettati per essere rivolti al pubblico. Poiché questo specifico exploit non richiederebbe alcuna forma di autenticazione, è ancora più allettante per gli aggressori, e qualsiasi organizzazione che utilizza lo stack di protocollo HTTP.sys dovrebbe dare la priorità a questa patch,"Ha aggiunto Kevin Breen.