Con l’aggiornamento di luglio 2022, Microsoft ha corretto una grande quantità di vulnerabilità su differenti suoi software. 

4 di queste sono critiche e 79 importanti, e le ritroviamo sia su software desktop/server che nell’ecosistema Azure. 

Per quanto riguarda il tipo di vulnerabilità, abbiamo al solito differenti tipologie, ma spicca in questa occasione la grande presenza di problemi di Elevazione dei Privilegi, che è all’origine di ben 51 delle vulnerabilità corrette con questo rilascio. Segue la sempre presente Esecuzione di Codice Remoto (Remote Code Execution), con 12 vulnerabilità risolte. Insomma, ne abbiamo per tutti i gusti. 

La maggior parte delle vulnerabilità, tutte di gravità importante, è stata scoperta sul prodotto Microsoft Azure Site Recovery, un insieme di strumenti pensati per la costruzione di servizi di disaster recovery. Si tratta in maggioranza di problemi di Elevazione di Privilegio; abbiamo le seguenti vulnerabilità: CVE-2022-30181, CVE-2022-33641-43, CVE-2022-33653-56,58, CVE-2022-33661, CVE-2022-33667, CVE-2022-33673-74 e CVE-2022-33677. I restanti problemi nel medesimo prodotto sono di natura Remote Code Execution: abbiamo le vulnerabilità CVE-2022-33676 e CVE-2022-33678. 

Sul versante opposto abbiamo una vulnerabilità importante (CVSS 7.8) in Windows Client Server Run-Time Subsystem, la CVE-2022-22047, che ha una valenza in più essendo stata già sfruttata in natura per stessa ammissione di Microsoft. Si tratta di una vulnerabilità non tatticamente sfruttabile nelle fasi iniziali di attacco, ma è di maggiore utilità per un attaccante che abbia già compromesso il sistema vulnerabile. 

Come altre volte (ad esclusione ella patch di giugno) vediamo molte correzioni allo spooler di stampa. Anche in questo caso abbiamo problemi di Elevazione dei Privilegi con differenti vulnerabilità: CVE-2022-22022, CVE-2022-22041, CVE-2022-30206 e CVE-2022-30226, tutte di gravità importante. Se l’aggiornamento di queste componenti non è possibile, Microsoft consiglia di mitigare disabilitando il servizio di spooling di stampa. 

Un’altra serie di vulnerabilità importanti affliggono Windows Network Filesystem: si tratta di una inappropriata divulgazione di informazioni (Information Disclosure; la CVE-2022-22028) e due casi di Remote Code Execution (CVE-2022-22029 e CVE-2022-22039). Gli attacchi necessari sono molto complessi, pertanto Microsoft ritiene estremamente improbabile questo tipo di attacco: esiste un problema di sostenere ripetizioni costante dei tentativi di attacco e problemi derivanti dal superamento di una condizione di corsa critica, e tutto questo rende evidentemente svantaggioso un attacco a queste vulnerabilità. 

Una delle vulnerabilità critiche rilevate afferiscono invece al Remote Procedure Call Runtime su tutte le versioni di Windows: il suo impatto è stato stimato CVSS 8.1, con uno schema di attacco complesso ma realizzabile pur non avendo privilegi specifici. Microsoft annota la vulnerabilità con la constatazione che un attaccante abbia invero necessità di predisporre l’obiettivo al fine di sfruttare con successo tale vulnerabilità. Ma in ogni caso l’impatto sarebbe comunque elevato. 

Tanto lavoro per Microsoft dunque anche in questo rilascio. 

La sensazione è che non ci sia effettivamente un “fondo” al baratro dell’insicurezza che questi software estremamente complessi portano con sé. Volendo citare una delle tante “Leggi di Murphy” che fioccano su Internet, potremmo dire che per il mondo Cyber “Ci sarà sempre un bug (di sicurezza) in più”.

Tweet