Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniVulnerabilità

Avviso relativo a vulnerabilità critiche in prodotti Microsoft sfruttabili in attacchi reali

microsoft  remote code execution   mercoledì, 14 giugno 2017

Nella giornata del 13 giugno 2017 Microsoft ha emesso un avviso relativo ad aggiornamenti di sicurezza critici, alcuni nuovi ed altri pubblicati nell’arco dell’ultimo decennio, che riguardano vulnerabilità ad alto rischio che si ritiene possano essere sfruttabili in attacchi reali. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione del Microsoft Security Advisory 4025685.

Gli utenti che hanno abilitato per le proprie piattaforme gli aggiornamenti automatici dovrebbero risultare già protetti. I gestori di sistemi più vecchi o per i quali gli aggiornamenti vengono installati manualmente debbono applicare al più presto gli aggiornamenti necessari, previa opportuna verifica.

Dettagli degli aggiornamenti contenuti nell’avviso di Microsoft:

  • [Critico] Vulnerability in Server Service Could Allow Remote Code Execution (MS08-067): questo aggiornamento di sicurezza risolve una vulnerabilità nel servizio Server sui sistemi Windows. Questa vulnerabilità può consentire l’esecuzione di codice in modalità remota se il sistema affetto riceve una richiesta RPC appositamente predisposta. Un attaccante potrebbe sfruttare questa vulnerabilità sui sistemi Microsoft Windows XP e Windows Server 2003 per eseguire codice arbitrario senza autenticazione. Si ritiene che questa vulnerabilità possa essere utilizzata per realizzare un exploit con caratteristiche di worm.
  • [Critico] Vulnerabilities in SMBv2 Could Allow Remote Code Execution (MS09-050): questo aggiornamento di sicurezza risolve tre vulnerabilità in Server Message Block Version 2 (SMBv2). La più grave di queste vulnerabilità potrebbe consentire l’esecuzione di codice da remoto mediante l’invio ad un sistema Windows di un pacchetto SMB appositamente predisposto.
  • [Critico] Vulnerability in Print Spooler Service Could Allow Remote Code Execution (MS10-061): questo aggiornamento di sicurezza risolve una vulnerabilità nel servizio Print Spooler sui sistemi Windows. Questa vulnerabilità può consentire l’esecuzione di codice in modalità remota se un attaccante invia una richiesta di stampa appositamente predisposta a un sistema vulnerabile con un’interfaccia di spooler di stampa esposta tramite RPC.
  • [Critico] Vulnerability in Kerberos Could Allow Elevation of Privilege (MS14-068): questo aggiornamento di sicurezza risolve una vulnerabilità in Microsoft Windows Kerberos KDC (Key Distribution Center). Questa vulnerabilità può consentire ad un attaccante di elevare i privilegi di un utente di dominio non privilegiato a quelli dell’account di amministratore del dominio.
  • [Critico] Security Update for Microsoft Windows SMB Server (MS17-010): questo aggiornamento di sicurezza risolve diverse vulnerabilità in Microsoft Windows. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice in modalità remota se un attaccante invia messaggi appositamente predisposti ad un server Microsoft Server Message Block 1.0 (SMBv1).
  • [Critico] Security Update for Microsoft Graphics Component (MS17-013): questo aggiornamento di sicurezza risolve diverse vulnerabilità in Microsoft Windows, Microsoft Office, Skype for Business, Microsoft Lync e Microsoft Silverlight. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice in modalità remota se un utente visita un sito Web appositamente predisposto o apre un documento appositamente predisposto.
  • [Critico] Remote Desktop Protocol Remote Code Execution Vulnerability (CVE-2017-0176): è stata riscontrata una vulnerabilità in Remote Desktop Protocol (RDP) con l’autenticazione mediante Smart Card attiva. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di eseguire codice sul sistema bersaglio, potendo quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
  • [Critico] Internet Explorer Memory Corruption Vulnerability (CVE-2017-0222): è stata riscontrata una vulnerabilità in Internet Explorer legata ad un accesso improprio agli oggetti in memoria. Questa vulnerabilità può provocare la corruzione della memoria sfruttabile per eseguire codice arbitrario nel conteso dell’utente corrente. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di ottenere gli stessi diritti dell’utente corrente. Se l’utente corrente è connesso con privilegi di amministratore, l’attaccante può assumere il controllo del sistema interessato, potendo quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
  • [Critico] Security Update for Microsoft Windows SMB (CVE-2017-0267 – CVE-2017-0280): sono state riscontrate diverse vulnerabilità in Microsoft Windows SMB. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice in modalità remota se un attaccante invia pacchetti appositamente predisposti ad un server Microsoft Server Message Block 1.0 (SMBv1).
  • [Critico] WebDAV Remote Code Execution Vulnerability (CVE-2017-7269): è stata riscontrata una vulnerabilità in IIS quando WebDAV gestisce gli oggetti in memoria in maniera impropria. Questa vulnerabilità può consentire ad un attaccante di eseguire codice arbitrario sul sistema. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di ottenere gli stessi diritti dell’utente corrente.
  • [Critico] Windows RPC Remote Code Execution Vulnerability (CVE-2017-8461): è stata riscontrata una vulnerabilità di tipo esecuzione di codice da remoto in RPC quando sul server sono abilitati Routing e accesso remoto. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di eseguire codice sul sistema bersaglio, potendo quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
  • [Critico] LNK Remote Code Execution Vulnerability (CVE-2017-8464): è stata riscontrata una vulnerabilità di tipo esecuzione di codice da remoto in Microsoft Windows quando viene mostrata l’icona di un collegamento appositamente predisposto. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di ottenere gli stessi diritti dell’utente corrente. Questa falla ha un impatto minore sugli utenti con account configurati in modo da disporre solo di diritti limitati sul sistema, rispetto a quelli con privilegi di amministratore.
  • [Critico] Windows olecnv32.dll Remote Code Execution Vulnerability (CVE-2017-8487): è stata riscontrata una vulnerabilità di tipo esecuzione di codice da remoto in Microsoft Windows OLE legata ad un’errata validazione dell’input. Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire codice malevolo.
  • [Critico] Windows Search Remote Code Execution Vulnerability (CVE-2017-8543): è stata riscontrata una vulnerabilità di tipo esecuzione di codice da remoto in Windows Search legata alla gestione degli oggetti in memoria. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di assumere il controllo del sistema interessato, potendo quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.
  • [Importante] Win32k Elevation of Privilege Vulnerability (CVE-2017-8552): è stata riscontrata una vulnerabilità di tipo elevazione dei privilegi nel driver kernel-mode di Windows legata alla gestione degli oggetti in memoria. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante di eseguire codice arbitrario in modalità kernel, potendo quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Notizie correlate

Vulnerabilità in prodotti Cisco (21 giugno 2017)

22 giugno 2017

Cisco ha rilasciato diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple, tra cui tre di gravità elevata, in diversi prodotti, tra cui Cisco WebEx e Cisco Prime Infrastructure.Leggi tutto

Aggiornamenti di sicurezza critici per Drupal 7 e 8

22 giugno 2017

sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di gravità elevata nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Microsoft rilascia aggiornamenti per Windows 10 e Windows Server 2016

21 giugno 2017

Microsoft ha rilasciato il 19 giugno 2017 aggiornamenti di sicurezza che risolvono vulnerabilità in Windows che possono consentire l'esecuzione di codice arbitrario con privilegi elevati.Leggi tutto