mercoledì 13 aprile 2016

Microsoft Patch day aprile: tredici bollettini chiudono 31 vulnerabilità


Come parte del suo Patch Day di aprile, Microsoft ha rilasciato 13 bollettini di sicurezza, sei dei quali classificati con livello di gravità Critico e i restanti Importante, per affrontare 31 vulnerabilità in Windows, Microsoft Office, Skype for Business, Windows Hyper-V, Internet Explorer e Microsoft Edge. L'aggiornamento include una correzione per il cosiddetto BadLock, difetto rivelato il mese scorso nei file Windows Server e Samba, che consente un attacco di tipo man-in-the-middle (MiTM) Se l'attacco va a buon fine, un malintenzionato può intercettare tutto il traffico DCERPC tra client e server, al fine di rappresentare il client ed ottenere gli stessi privilegi dell'account utente autenticato.

Se sfruttato, un attaccante potrebbe ottenere l'accesso in lettura/scrittura al database Security Account Manager (SAM), rivelando potenzialmente tutte le password utente e altre informazioni sensibili. Gli ingegneri di Microsoft e il Samba Team hanno lavorato insieme nel corso degli ultimi mesi per riuscire a risolvere questo problema. Tutte le versioni di Samba sono interessate. Microsoft ha rilasciato anche una patch per chiudere una vulnerabilità zero day in Windows che consente l'elevazione dei privilegi e diversi bug in Flash Player e altri prodotti Adobe, uno dei quali viene attivamente sfruttato sui computer che eseguono Windows 10 e versioni precedenti con Flash Player versione 20.0.0.306. Di seguito i bollettini sulla sicurezza di aprile in ordine di gravità.

MS16-037 - Aggiornamento cumulativo per la protezione di Internet Explorer (3148531). Questo aggiornamento per la protezione risolve sei vulnerabilità in Internet Explorer. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. 

MS16-038 - Aggiornamento cumulativo per la protezione di Microsoft Edge (3148532). Questo aggiornamento per la protezione risolve sei vulnerabilità in Microsoft Edge. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Microsoft Edge. Un utente malintenzionato che riesca a sfruttare le vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.


• MS16-039 - Aggiornamento della protezione per Microsoft Graphics Component (3148522). Questo aggiornamento per la protezione risolve quattro vulnerabilità in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business e Microsoft Lync. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un documento appositamente predisposto o visita una pagina Web che contiene caratteri incorporati appositamente predisposti.

MS16-040 - Aggiornamento della protezione per Microsoft XML Core Services (3148541). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente fa clic su un collegamento appositamente predisposto che potrebbe consentire a un utente malintenzionato di eseguire codice dannoso da remoto per prendere il controllo del sistema dell'utente. Tuttavia, in tutti i casi l'utente malintenzionato deve in qualche modo obbligare un utente a fare clic su un collegamento appositamente predisposto. Un utente malintenzionato deve convincere un utente a fare clic sul collegamento, tipicamente per mezzo di una e-mail allettante o messaggistica immediata.

• MS16-041 - Aggiornamento della protezione per .NET Framework (3148789). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft .NET Framework. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato con accesso al sistema locale esegue un'applicazione dannosa.

• MS16-042 - Aggiornamento della protezione per Microsoft Office (3148775). Questo aggiornamento per la protezione risolve quattro vulnerabilità in Microsoft Office. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Microsoft Office appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente.  I clienti con account configurati in modo da disporre solo di diritti utente limitati sul sistema potrebbero essere esposti in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

MS16-044 - Aggiornamento della protezione per Windows OLE (3146706). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se Windows OLE non riesce a convalidare correttamente l'input dell'utente. Un utente malintenzionato potrebbe sfruttare la vulnerabilità per eseguire codice dannoso. Tuttavia, un utente malintenzionato deve prima convincere un utente ad aprire un file appositamente predisposto o un programma sia da una pagina Web o un messaggio di posta elettronica.

MS16-045 - Aggiornamento della protezione per Windows Hyper-V (3143118). Questo aggiornamento per la protezione risolve tre vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato autenticato su un sistema operativo guest esegue un'applicazione appositamente predisposta che causa l'esecuzione di codice arbitrario sul sistema operativo host Hyper-V. I clienti che non hanno permesso il ruolo Hyper-V non sono interessati.

MS16-046 - Aggiornamento della protezione di Secondary Logon (Access o secondario) (3148538). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità potrebbe eseguire codice arbitrario come amministratore.


MS16-047 - Aggiornamento della protezione per SAM e LSAD Protocolli Remoti (3148527). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire l'acquisizione dei privilegi più elevati se un utente malintenzionato lancia un attacco attacco man-in-the-middle (MiTM). Un utente malintenzionato potrebbe quindi imporre un downgrade del livello di autenticazione dei canali SAM e LSAD e impersonare un utente autenticato.

• MS16-048 - Aggiornamento della protezione di CSRSS (3148528). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità può consentire funzionalità di sicurezza di esclusione se un utente malintenzionato accede a un sistema di destinazione ed esegue un'applicazione appositamente predisposta.

MS16-049 - Aggiornamento della protezione per HTTP.sys (3148795). Questo aggiornamento per la protezione risolve una vulnerabilità in Microsoft Windows. La vulnerabilità CVE-2016-0128 può consentire un attacco Denial of Service (DDoS) se un utente malintenzionato invia un pacchetto HTTP appositamente predisposto a un sistema di destinazione.

MS16-050 - Aggiornamento della protezione per Adobe Flash Player (3154132). Questo aggiornamento per la protezione risolve una vulnerabilità di Adobe Flash Player installato in tutte le edizioni supportate di Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, e Windows 10. Un utente malintenzionato che vuole sfruttare la vulnerabilità deve indurre la vittima a visitare una pagina Web appositamente predisposta.

Infine, Microsoft ha rilasciato la nuova build 10586.218 di Windows 10 sia desktop che mobile. Si tratta di un aggiornamento cumulativo che corregge diversi bug ed ottimizza le prestazioni. Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente (alcune delle quali richiedono il riavvio del computer) e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.35, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Per tutte le ultime informazioni, è possibile seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Il prossimo appuntamento con il Patch day è fissato per martedì 10 maggio 2016.



2 commenti: