Analisi del Patch Tuesday di luglio e delle raccomandazioni di Ivanti per dare priorità alla correzione delle vulnerabilità (CVE). Patch Tuesday di luglio 2021 ha tutto.
Con il recente aggiornamento fuori banda di PrintNightmare, l'imminente CPU Oracle trimestrale, una suite di aggiornamenti di Adobe tra cui Acrobat e Reader, Mozilla Firefox e Firefox ESR e la tipica suite di aggiornamenti mensili di Microsoft, Patch Tuesday include a luglio molta sicurezza vulnerabilità che dovrebbero essere affrontate in via prioritaria.
Vulnerabilità PrintNightmare
Inizia con PrintNightmare CVE-2021-34527, che è stato identificato come un'altra vulnerabilità nello spooler di stampa dopo l'aggiornamento del Patch Tuesday di giugno. Microsoft è stata rapida nel rilasciare aggiornamenti di sicurezza fuori banda per la maggior parte dei sistemi operativi. Gli aggiornamenti sono disponibili per Windows 7 e Server 2008/2008 R2 purché gli utenti dispongano di un abbonamento Extended Security Update (ESU). La società ha anche fornito un articolo di supporto che spiega come funzionano gli aggiornamenti e offre alcune opzioni di configurazione aggiuntive. Le organizzazioni che non hanno ancora installato l'aggiornamento fuori banda possono semplicemente aggiornare gli aggiornamenti del sistema operativo di luglio per correggere le tre nuove vulnerabilità zero-day insieme a questo CVE.
Microsoft – Oltre 100 CVE
Microsoft ha anche corretto 117 singoli CVE a luglio, 10 dei quali sono stati classificati come critici. Tra questi ci sono tre vulnerabilità zero-day e cinque divulgazioni pubbliche. Una piccola buona notizia: tutte e tre le vulnerabilità zero-day e tre delle cinque divulgate pubblicamente verranno risolte con il rilascio degli aggiornamenti del sistema operativo di luglio. Gli aggiornamenti di questo mese interessano i sistemi operativi Windows, Office 365, Sharepoint, Visual Studio e una serie di moduli e componenti (vedere le note di rilascio per i dettagli).
Priorità basata sul rischio
Quando si esaminano le vulnerabilità risolte dai fornitori, la valutazione dovrebbe considerare qualcosa di più della semplice gravità e del punteggio CVSS. Se i team di sicurezza IT non dispongono di metriche aggiuntive per determinare il rischio, è probabile che manchino alcuni degli aggiornamenti più importanti. Un buon esempio di come gli algoritmi dei fornitori utilizzati per definire la gravità possono dare un falso senso di sicurezza può essere trovato nell'elenco zero-day di questo mese. Due dei CVE sono considerati importanti solo da Microsoft, sebbene siano stati sfruttati attivamente prima del rilascio dell'aggiornamento. Il punteggio CVSSv3 per il CVE critico è persino inferiore a quello per i due CVE importanti. Secondo analisti come Gartner, l'adozione di un approccio basato sul rischio alla gestione delle vulnerabilità può ridurre il numero di violazioni dei dati fino all'80% all'anno (Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019).
Vulnerabilità zero-day
CVE-2021-31979 è una vulnerabilità Elevation of Privilege nel kernel di Windows. Questa vulnerabilità è stata scoperta durante gli attacchi "in the wild". La gravità di Microsoft per questo CVE è classificata Importante e il punteggio CVSSv3 è 7,8. La vulnerabilità interessa Windows 7, Server 2008 e versioni successive del sistema operativo Windows.
Al CVE-2021-33771 Questa è una vulnerabilità Elevation of Privilege nel kernel di Windows. Questa vulnerabilità è stata scoperta anche in attacchi reali. La gravità di Microsoft per questo CVE è classificata Importante e il punteggio CVSSv3 è 7,8. La vulnerabilità interessa Windows 8.1, Server 2012 R2 e versioni successive del sistema operativo Windows.
CVE-2021-34448 è una vulnerabilità di danneggiamento della memoria nel motore di scripting di Windows che potrebbe consentire a un utente malintenzionato di eseguire codice in remoto sul sistema interessato.
Scenario di attacco zero-day
In uno scenario di attacco dal Web, un utente malintenzionato potrebbe pubblicare un sito Web contenente un file appositamente predisposto per sfruttare la vulnerabilità. Lo stesso vale per un sito Web compromesso che accetta o ospita contenuti forniti dall'utente. Tuttavia, un utente malintenzionato non avrebbe modo di costringere l'utente a visitare il sito web. Invece, un utente malintenzionato dovrebbe indurre volontariamente l'utente a fare clic su un collegamento. Questo viene in genere fatto tramite un'e-mail o un messaggio di messaggistica istantanea. L'obiettivo è quindi convincere l'utente ad aprire il file.
La gravità di Microsoft per questo CVE è valutata come Critica e il punteggio CVSSv3 è 6,8. La vulnerabilità interessa Windows 7, Server 2008 e le versioni più recenti del sistema operativo Windows.
Annunciato pubblicamente
CVE-2021-33781 mira a bypassare le funzionalità di sicurezza nel servizio Active Directory. Questa vulnerabilità è stata divulgata pubblicamente. La gravità di Microsoft per questo CVE è classificata Importante e il punteggio CVSSv3 è 8.1. La vulnerabilità interessa Windows 10, Server 2019 e versioni successive del sistema operativo Windows.
CVE-2021-33779 è un bypass della funzionalità di sicurezza in Windows ADFS Security. Questa vulnerabilità è stata divulgata pubblicamente. La gravità di Microsoft per questo CVE è classificata Importante e il punteggio CVSSv3 è 8.1. La vulnerabilità interessa le versioni server 2016, 2019, 2004, 20H2 e Core Windows Server.
Al CVE-2021-34492 è una vulnerabilità di spoofing dei certificati nel sistema operativo Windows. Anche questa vulnerabilità è stata divulgata pubblicamente. La gravità di Microsoft per questo CVE è classificata come Importante. Il punteggio CVSSv3 è 8.1 e riguarda Windows 7, Server 2008 e versioni successive del sistema operativo Windows.
CVE-2021-34473 è una vulnerabilità legata all'esecuzione di codice in modalità remota in Microsoft Exchange Server ed è stata divulgata pubblicamente. Microsoft classifica questo CVE come critico e il punteggio CVSSv3 è 9,0. La vulnerabilità interessa Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 è una vulnerabilità Elevation of Privilege in Microsoft Exchange Server. Questa vulnerabilità è stata divulgata pubblicamente e ha un livello di gravità Importante. Il punteggio CVSSv3 è 9.1. Colpisce Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Aggiornamenti di terze parti
Oracle rilascerà il suo Quarterly Critical Patch Update o CPU il 20 luglio. Includerà aggiornamenti per Oracle Java SE, MySQL, Fusion Middleware e molti altri prodotti Oracle. La CPU conterrà tutte le correzioni di sicurezza e i dettagli su CVSSv3.1. Ciò include la complessità dell'attacco e le risposte alla domanda se la vulnerabilità può essere sfruttata da remoto. I dettagli vengono aggiunti per comprendere l'urgenza degli aggiornamenti.
Adobe ha rilasciato aggiornamenti per cinque prodotti come parte del Patch Tuesday di luglio. Gli aggiornamenti per Adobe Bridge, Dimension, Illustrator e Framemaker sono classificati come priorità 3 da Adobe. Ciascuno corregge almeno un CVE critico.
Molti aggiornamenti Adobe per Acrobat e Reader
Nella classificazione, Adobe tiene conto sia della gravità della vulnerabilità sia della probabilità che un utente malintenzionato si concentri sul prodotto. Adobe Priority 1 significa che almeno un CVE incluso nella release è già attivamente sfruttato. Priorità 3 significa che il prodotto ha meno probabilità di essere attaccato e che ci sono poche vulnerabilità sfruttate.
Sebbene i quattro aggiornamenti del prodotto non siano urgenti, dovrebbero essere risolti in un lasso di tempo ragionevole. Più importante questo mese è l'aggiornamento di Adobe Acrobat e Reader (APSB21-51), che corregge 19 CVE, 14 dei quali sono classificati come critici. La pertinenza impostata da Adobe per questo aggiornamento è Priorità 2. Tre dei CVE critici sono stati valutati con un CVSSv3 di 8.8. Potrebbe consentire l'esecuzione di codice in modalità remota. Non è ancora noto che qualcuno dei CVE sia stato sfruttato. Tuttavia, Acrobat e Reader sono ampiamente distribuiti sui sistemi e di interesse per gli attori delle minacce in sé e per sé.
Mozilla ha rilasciato aggiornamenti per Firefox e Firefox ESR che includono correzioni per 9 CVE. La Fondazione classifica cinque dei CVE come “ad alto impatto”. I team di sicurezza IT possono trovare maggiori dettagli in MFSA2021-28.
Raccomandazioni Ivanti per la definizione delle priorità
La massima priorità di questo mese è l'aggiornamento del sistema operativo Windows. Sono state corrette altre tre vulnerabilità zero-day. Per le aziende che non hanno ancora installato la correzione out-of-band di PrintNightmare, si tratterebbe di quattro vulnerabilità zero-day insieme a tre vulnerabilità divulgate pubblicamente.
Microsoft Exchange ha due vulnerabilità note pubblicamente oltre a CVE-2021-31206, che è diventato noto alcuni mesi fa come parte del concorso Pwn2Own. Pertanto, sebbene Exchange abbia avuto una breve pausa dopo molti aggiornamenti negli ultimi mesi, questa vulnerabilità dovrebbe essere analizzata e risolta il prima possibile.
Gli aggiornamenti di terze parti per Adobe Acrobat e Reader e Mozilla Firefox dovrebbero avere la massima priorità. Le applicazioni PDF e browser sono facili bersagli per gli aggressori che sfruttano un utente con attacchi di phishing e altri metodi incentrati sull'utente.
Altro su Ivanti.com
A proposito di Ivanti La forza dell'IT unificato. Ivanti collega l'IT con le operazioni di sicurezza aziendale per governare e proteggere meglio il posto di lavoro digitale. Identifichiamo le risorse IT su PC, dispositivi mobili, infrastrutture virtualizzate o nel data center, indipendentemente dal fatto che siano on-premise o nel cloud. Ivanti migliora l'erogazione dei servizi IT e riduce i rischi aziendali grazie a competenze e processi automatizzati. Utilizzando le moderne tecnologie nel magazzino e lungo l'intera catena di fornitura, Ivanti aiuta le aziende a migliorare la loro capacità di consegna, senza cambiare i sistemi di back-end.