L’NSA aiuta Microsoft con la divulgazione di vulnerabilità critiche di Exchange Server con una pioggia di patch ad aprile
14 Aprile 2021
0
0
Oltre 100 correzioni per il mondo Windows, oltre a buchi in SAP, Adobe, FreeBSD e altri
Aprile porta una serie di patch mentre Microsoft offre il suo fun-fest Patch Tuesday composto da oltre un centinaio di CVE (Common Vulnerabilities and Exposures in italiano Vulnerabilità ed esposizioni comuni), comprese quattro vulnerabilità di Exchange Server segnalate a Nicrosoft dalla National Security Agency (NSA) degli Stati Uniti.
Sono interessati quarantaquattro prodotti e servizi diversi, principalmente relativi a Azure, Exchange Server, Office, Visual Studio Code e Windows.
Tra le vulnerabilità, quattro sono state rivelate pubblicamente e una quinta è attivamente sfruttata. Diciannove CVE sono stati designati critici.
“Il rilascio di questo mese include una serie di vulnerabilità critiche a cui consigliamo di dare la priorità, inclusi gli aggiornamenti per la protezione da nuove vulnerabilità nei server Exchange on-premise”, ha affermato Microsoft nel suo post sul blog .
“Queste nuove vulnerabilità sono state segnalate da un partner per la sicurezza tramite la divulgazione di vulnerabilità coordinata standard e sono state trovate internamente da Microsoft. Non abbiamo visto le vulnerabilità utilizzate negli attacchi contro i nostri clienti.
Facendo clic sui link Microsoft a CVE-2021-28480 (gravità 9,8), CVE-2021-28481 (gravità 9,8), CVE-2021-28482 (gravità 8,8) e CVE-2021-28483 (gravità 9,0), trovare il partner di sicurezza non specificato è la NSA.
Exchange Server 2013 CU23 , Exchange Server 2016 CU19 e CU20 ed Exchange Server 2019 CU8 e CU9 sono interessati da questo insieme di problemi.
“La NSA esorta ad applicare le patch Microsoft critiche rilasciate oggi, poiché lo sfruttamento di queste vulnerabilità potrebbe consentire l’accesso e il controllo persistenti delle reti aziendali”, ha affermato l’ agenzia di intelligence dei segnali tramite Twitter.
L’assistenza NSA arriva un mese dopo che Microsoft ha risolto quattro difetti zero-day di Exchange Server , sostenendo che un gruppo di hacker con sede in Cina, soprannominato “Afnio”, ha sfruttato le vulnerabilità per rubare dati da appaltatori della difesa, studi legali e ricercatori medici statunitensi.
Facendo riferimento ai due difetti di Exchange con gravità 9.8, Dustin Childs, direttore delle comunicazioni per Zero Day Initiative, in un post sul blog ha affermato: “Entrambi i bug di esecuzione del codice non sono autenticati e non richiedono l’interazione dell’utente. Poiché il vettore di attacco è elencato come” Rete, “è probabile che questi bug siano wormable, almeno tra i server Exchange.”
2 of these are logic pre-auth RCEs btw, so if you don't patch fast you're going to have a bad time. https://t.co/99tAMrHlgS
— Pwn All The Things (@pwnallthethings) April 13, 2021
Sei dei 114 Microsoft CVE corrispondono a Microsoft Edge e sono stati ereditati tramite un recente aggiornamento di Chromium. Del resto, Childs rileva che 27 sono identificate come “Vulnerabilità dell’esecuzione di codice in modalità remota in runtime di chiamata di procedura remota”, con 12 di queste designate come critiche e 15 come importanti.
“Nelle vulnerabilità RPC viste in passato, un utente malintenzionato dovrebbe inviare una richiesta RPC appositamente predisposta a un sistema interessato”, ha spiegato. “Il successo dello sfruttamento si traduce nell’esecuzione di codice nel contesto di un altro utente.”
Tra gli altri, solo CVE-2021-28310 , identificato come vulnerabilità legata all’elevazione dei privilegi di Win32k, è noto per essere oggetto di sfruttamento attivo.
E il resto
SAP ha riportato un numero di avvisi di sicurezza più elevato del solito: 23, di cui 11 sono di gravità media, cinque sono di gravità alta e tre sono designati “Hot News” perché SAP evidentemente non può convincersi a dire “critico”.
Tra questi tre, un difetto è riuscito a ottenere un punteggio CVSS perfetto di 10. SAP non ha reso i dettagli pubblicamente disponibili, ma la società di sicurezza Onapsis spiega che si tratta di un aggiornamento che risolve 62 vulnerabilità nel browser Chromium di Google, utilizzato in SAP Business Client.
Forescout ha identificato una serie di nove vulnerabilità, denominate NAME: WRECK , che interessano il codice relativo al DNS in quattro stack TCP / IP – FreeBSD, Nucleus NET, IPnet e NetX – che vengono utilizzati in circa 100 milioni o più dispositivi. I bug, pubblicizzati questa settimana, possono essere sfruttati per crash box o eseguire codice arbitrario.
La patch per FreeBSD è qui ed è uscita l’anno scorso. Se stai utilizzando apparecchiature alimentate dal software vulnerabile, procuragli la patch o blocca l’accesso ai suoi servizi a rischio.
Questo script open source può rilevare le macchine vulnerabili sulla tua rete.
Il secondo classificato è un difetto di gravità 9,9 designato CVE-2021-27602, che SAP descrive come una vulnerabilità di esecuzione di codice in modalità remota nelle regole di origine di SAP Commerce, versioni 1808, 1811, 1905, 2005 e 2011.
L’ultimo dei primi tre è un controllo di autorizzazione mancante di gravità 9.6 in SAP NetWeaver AS JAVA (servizio di migrazione) che ha ottenuto il CVE-2021-21481.
Adobe nel frattempo ha pubblicato quattro avvisi – APSB21-28 per Photoshop, APSB21-26 per Digital Editions, APSB21-23 per Bridge e APSB21-20 per RoboHelp – riguardanti dieci CVE. Quattro di questi sono fondamentali: due di questi in Photoshop e gli altri due in Bridge.
Google all’inizio del mese ha perso 39 CVE che coprono Android e componenti di MediaTek e Qualcomm. Due sono stati designati critici.
“Il più grave di questi problemi è una vulnerabilità di sicurezza critica nel componente di sistema che potrebbe consentire a un utente malintenzionato remoto che utilizza un file appositamente predisposto di eseguire codice arbitrario nel contesto di un processo privilegiato”, afferma il bollettino sulla sicurezza di Google. ®
