Secondo l'analisi Ivanti di Patch Tuesday, ottobre è tutto incentrato sul mese europeo della sicurezza informatica. Questo è un buon momento per le aziende per rivedere la propria strategia di sicurezza: fino a che punto i team IT e di sicurezza IT sono in grado di concentrarsi sugli aspetti più importanti dell'igiene informatica complessiva.
La gestione delle vulnerabilità gioca sempre un ruolo speciale qui. Per 18 anni, Microsoft ha raggruppato il rilascio di nuove patch il Patch Tuesday, aiutando le aziende a consolidare le finestre di test e manutenzione e correggere le vulnerabilità di sicurezza nel software comune in modo più prevedibile.
Applicazione di patch: esigenze diverse per i team IT
Patch martedì di ottobre: ci sono di nuovo alcune importanti vulnerabilità (Immagine: Ivanti).
Tuttavia, le richieste dei team IT in termini di patch sono cambiate negli ultimi anni: stanno lottando sempre più per proteggere un ambiente IT pieno di prodotti software al di fuori di Microsoft & Co. e che allo stesso tempo hanno versioni e i cicli di rilascio funzionano. Ultimo ma non meno importante, il 71 percento di tutti gli specialisti della sicurezza si lamenta che la gestione delle vulnerabilità richiede troppo tempo e troppo complessa, secondo un attuale studio di Ivanti. Il risultato: il patching passa sempre più in secondo piano rispetto ad altre attività, come affermato dal 62% dei partecipanti allo studio. Ulteriori risultati dello studio sono disponibili per il download.
Valutazione del Patch Tuesday di ottobre
Questo mese Microsoft ha rilasciato aggiornamenti che chiudono un totale di 74 nuove vulnerabilità di sicurezza (CVE) e due CVE ripubblicate. Queste includono quattro vulnerabilità divulgate pubblicamente e una zero-day (CVE-2021-40449). Microsoft ha valutato tre dei 76 CVE di questo mese come critici. Gli aggiornamenti di questo mese interessano i sistemi operativi Windows, Office 365, Exchange Server, Intune, System Center, .Net Core e Visual Studio e una serie di ruoli in AD, ADFS, Hyper-V e DNS.
CVE-2021-40449 è una vulnerabilità Win32k (Elevation of Privilege) nel sistema operativo Windows, a partire da Windows 7 e Server 2008 fino a Windows 11 e Server 2022. Microsoft classifica questa vulnerabilità come importante solo per il suo sistema di gravità. Questo è un buon esempio del motivo per cui le organizzazioni dovrebbero dare la priorità al rischio quando affrontano le vulnerabilità della sicurezza. Un approccio basato sul rischio alla gestione delle vulnerabilità considera indicatori più realistici, come vulnerabilità note, divulgazioni e tendenze nello sfruttamento delle vulnerabilità da parte degli attori delle minacce. L'obiettivo di questo approccio è comprendere meglio su quali vulnerabilità i team dovrebbero concentrarsi per primi e rapidamente.
Microsoft chiude più vulnerabilità
Microsoft ha anche risolto la vulnerabilità CVE-2021-41338 nell'AppContainer Firewall di Windows, che può essere utilizzato per aggirare le funzionalità di sicurezza. La vulnerabilità è stata divulgata pubblicamente, incluso il codice proof-of-concept. Ciò consente agli attori delle minacce di sviluppare un exploit. La vulnerabilità esiste in Windows 10, Server 2016 e versioni successive.
CVE-2021-41335, d'altra parte, è una vulnerabilità nel kernel di Windows che consente l'escalation dei privilegi. La vulnerabilità esiste nelle versioni da Windows 7 a Windows 10 e da Server 2008 a Server 2019. Il CVE è stato divulgato pubblicamente, incluso il codice di prova. Microsoft ha anche corretto CVE-2021-40469, una vulnerabilità legata all'esecuzione di codice in modalità remota nel DNS di Windows. La vulnerabilità riguarda solo i server configurati come server DNS e si applica da Server 2008 a Server 2022. La vulnerabilità è stata resa pubblica, includendo anche un codice di prova.
Miglioramenti in ottobre
Con CVE-2021-33781, Microsoft ha risolto una vulnerabilità che consente di aggirare le funzioni di sicurezza in Azure AD. Questo divario è stato originariamente risolto con il Patch Tuesday di luglio. Con l'aggiornamento, sono state aggiunte altre versioni interessate di Windows 10 (1607) Server 2016 e Windows 11.
Adobe ha rilasciato sei aggiornamenti, incluso uno per Acrobat e Reader, Connect, Reader Mobile, Commerce, Campaign Standard e ops-cli. Gli aggiornamenti di Adobe Connect (APSB21-91) e ops-cli (APSB21-88) contengono CVE critici con un punteggio di base CVSS di 9,8 su 10. APSB21-104 per Adobe Acrobat e Reader corregge la maggior parte dei CVE in ordine. In questo aggiornamento sono state corrette in totale quattro vulnerabilità, due delle quali sono state classificate come critiche con un punteggio CVSS di 7,8.
Adobe, FoxIT, Google e altro ancora
FoxIt PDF ha rilasciato aggiornamenti per le sue edizioni Windows e macOS che risolvono molte vulnerabilità. Sono stati identificati e corretti sette CVE e un certo numero di ID. Si tratta di vulnerabilità identificate dalla Trend Zero Day Initiative e dal China National Vulnerability Database. Le aziende possono visitare la pagina degli aggiornamenti di Foxit PDF Editor per ulteriori dettagli.
Google Chrome ha avuto un totale di quattro rilasci dal Patch Tuesday di settembre, risolvendo un totale di 25 CVE. Oracle, d'altra parte, non rilascia la sua CPU trimestrale fino al 19 ottobre. I team IT dovrebbero dare un'occhiata più da vicino agli aggiornamenti di Oracle Java, Oracle DB, middleware e altri prodotti durante questo periodo.