Nuovi bug per Microsoft e un brutto pasticcio con SMBv3

Mar 11, 2020 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

Gli aggiornamenti di marzo correggono 115 vulnerabilità, ma rimane “scoperta” una falla di sicurezza che interessa SMBv3.

Tempo di aggiornamenti per Windows 10 e, nella tornata di patch di marzo 2020, Microsoft corregge la bellezza di 115 vulnerabilità, di cui due decisamente “importanti”. Il vero problema, però, riguarda una falla di sicurezza in SMBv3 (l’ultima versione di Server Message Block) per cui non è ancora disponibile un fix.

Dal punto di vista del rischio di utilizzo da parte di pirati informatici, una delle vulnerabilità più rilevanti riguarda Word. La falla di sicurezza (CVE-2020-0852) consente infatti di creare un file che avvia l’esecuzione di codice all’apertura dello stesso.

A differenza di quanto succede con altri exploit simili, per esempio quelli che sfruttano script integrati nel documento, l’attacco non richiederebbe alcuna interazione da parte dell’utente e, di conseguenza, avrebbe un livello di pericolosità decisamente elevato.

A rendere ancora più insidiosa la vulnerabilità, c’è il fatto che molti utenti non hanno ancora interiorizzato la necessità di impostare Windows Update per scaricare automaticamente gli aggiornamenti dei software Microsoft disponibili. In altre parole: il rischio è che la vulnerabilità rimanga in circolazione per parecchio tempo.

L’altra vulnerabilità che, secondo gli esperti, potrebbe fare gola ai cyber-criminali è quella che riguarda un’altra RCE (Remote Code Execution) questa volta relativa ai file .LNK. Anche in questo caso il bug (CVE-2020-0684) permette di avviare l’esecuzione di codice alla semplice apertura del file.

I file .LNK sono stati usati già in passato dai pirati informatici (ne abbiamo parlato in questo articolo) e in questo caso, secondo gli esperti di Microsoft, potrebbero essere utilizzati come vettore d’attacco in abbinata a una condivisione su disco remoto o cartella condivisa.

Il vero problema, però, riguarda il bug che interessa SMBv3. Server Message Block, salito all’onore delle cronache quando è emersa la famigerata vulnerabilità Eternal Blue (qui un approfondimento) consente di portare attacchi in modalità worm.

Insomma: un malware che dovesse sfruttare la vulnerabilità (CVE-2020-0796) sarebbe in grado di propagarsi autonomamente senza che sia necessario alcun vettore di attacco. Qualcosa di estremamente pericoloso, per cui però non è ancora disponibile una patch.

Difficile capire che cosa sia successo. I dettagli sulla falla di sicurezza, infatti, sono stati pubblicati da alcune società di sicurezza (tra cui Cisco Talos, che ha però rimosso i contenuti quando è emerso il fatto che non fosse disponibile un fix) come se si trattasse di un bug per cui fosse disponibile una correzione.

L’impressione è che ci sia stato qualche problema di comunicazione, con i ricercatori convinti che la patch fosse compresa nel pacchetto di aggiornamenti di marzo e Microsoft che, invece, ne ha ritardato il rilascio.

Condividi l'articolo