Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2018)

edge  Internet Explorer  Meltdown  microsoft  Spectre   mercoledì, 13 giugno 2018

Nella giornata del 12 giugno 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti. Se sfruttate con successo, le più gravi tra queste vulnerabilità possono causare l’esecuzione di codice arbitrario da remoto.

Gli aggiornamenti riguardano i seguenti prodotti:

  • Microsoft Windows 7, 8.1, RT 8.1 e 10
  • Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016
  • Microsoft Windows Server Core Installation 2008, 2008 R2, 2012, 2012 R2, 2016
  • Microsoft Office 2010, 2013, 2013 RT, 2016, 2016 Click-to-Run
  • Microsoft Office Online Server 2016
  • Microsoft Office Compatibility Pack
  • Microsoft Office Web Apps Server 2010, 2013
  • Microsoft Outlook 2010, 2013, 2013 RT, 2016
  • Microsoft Word Automation Services
  • Microsoft Excel 2010, 2013, 2013 RT, 2016, Excel Services, Excel Viewer
  • Microsoft Publisher 2010
  • Microsoft Project Server 2010
  • Microsoft Internet Explorer 9, 10, 11
  • Microsoft Edge
  • Microsoft SharePoint Foundation 2013
  • Microsoft SharePoint Enterprise Server 2016
  • ChakraCore

Gli aggiornamenti includono fix per le seguenti vulnerabilità critiche o di gravità elevata:

  • Vulnerabilità multiple in Microsoft Edge legate ad una gestione impropria degli oggetti in memoria che possono consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8110, CVE-2018-8111, CVE-2018-8236).
  • Una vulnerabilità in Microsoft Windows legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante autenticato di eseguire codice arbitrario mediante un’applicazione appositamente predisposta (CVE-2018-8213).
  • Una vulnerabilità nel componente DNS (DNSAPI.dll) di Windows legata ad una gestione impropria di risposte DNS che può consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’account Local System (CVE-2018-8225).
  • Una vulnerabilità di tipo corruzione della memoria nel Chakra Scripting Engine in Microsoft Edge (CVE-2018-8229).
  • Una vulnerabilità nel componente HTTP Protocol Stack (Http.sys) di Windows legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante remoto di eseguire codice arbitrario sui sistemi affetto (CVE-2018-8231).
  • Una vulnerabilità di tipo esecuzione di codice da remoto nel motore di scripting ChakraCore (CVE-2018-8243).
  • Una vulnerabilità in Internet Explorer 11 legata ad una gestione impropria degli oggetti in memoria che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8249).
  • Una vulnerabilità nel componente Windows Media Foundation legata ad una gestione impropria degli oggetti in memoria che può portare alla totale compromissione del sistema (CVE-2018-8251).
  • Una vulnerabilità in Internet Explorer legata ad una gestione impropria degli oggetti in memoria da parte del motore di scripting che può consentire ad un attaccante di eseguire codice da remoto nel contesto dell’utente corrente (CVE-2018-8267).
  • Vulnerabilità multiple in Windows Device Guard che possono consentire ad un attaccante di iniettare codice malevolo in una sessione PowerShell (CVE-2018-8201, CVE-2018-8211, CVE-2018-8212, CVE-2018-8215, CVE-2018-8216, CVE-2018-8217, CVE-2018-8221).
  • Una vulnerabilità di tipo elevazione dei privilegi in Cortana su Windows 10 e Windows Server che può consentire ad un attaccante con accesso fisico alla macchina di eseguire comandi arbitrari con privilegi elevati (CVE-2018-8140).

In aggiunta agli aggiornamenti regolari del Patch Tuesday di giugno, Microsoft ha anche pubblicato un avviso di sicurezza separato che contiene indicazioni per i programmatori, utili ad evitare la creazione di app vulnerabili ad attacchi di tipo padding oracle che sfruttano la modalità CBC (Cipher Block Chaining) utilizzata con algoritmi di crittografia simmetrica.

Inoltre, l’installazione degli ultimi aggiornamenti di Windows modifica le impostazioni predefinite delle mitigazioni per gli attacchi Spectre e Meltdown secondo quanto riportato nella tabella seguente.

Stato delle mitigazioni per gli attacchi Spectre e Meltdown sui sistemi Windows (fonte: Microsoft)
Sistema operativo CVE-2017-5715 (Spectre tipo 2) CVE-2017-5754 (Meltdown) CVE-2018-3639 (Variante 4)
Windows 10 Abilitata Abilitata Disabilitata (ADV180012)
Windows Server 2016 Disabilitata (KB4072698) Disabilitata (KB4072698) Disabilitata (ADV180012)
Windows 8.1 Abilitata Abilitata Non disponibile (ADV180012)
Windows Server 2012 R2 Disabilitata (KB4072698) Disabilitata (KB4072698) Non disponibile (ADV180012)
Windows RT 8.1 Abilitata Abilitata Non disponibile (ADV180012)
Windows 7 Abilitata Abilitata Disabilitata (ADV180012)
Windows Server 2008 R2 Disabilitata (KB4072698) Disabilitata (KB4072698) Disabilitata (ADV180012)
Windows Server 2008 Disabilitata (KB4072698) Disabilitata (KB4072698) Non disponibile (ADV180012)

Si raccomanda ai gestori e agli utenti di sistemi e prodotti Microsoft di prendere visione dei bollettini di sicurezza Microsoft di giugno 2018 e di applicare al più presto gli aggiornamenti necessari.

I bollettini di sicurezza Microsoft più recenti sono reperibili sul portale Security Update Guide (per ora disponibile solo in Inglese).

Gli aggiornamenti di sicurezza possono essere scaricati dal sito Microsoft Download Center. Per i sistemi desktop gli aggiornamenti possono essere ottenuti automaticamente mediante Microsoft Update.

Notizie correlate

Microsoft rilascia aggiornamento per vulnerabilità multiple in Exchange

21 giugno 2018

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre diverse vulnerabilità di gravità elevata in Microsoft Exchange Server.Leggi tutto

Vulnerabilità 0-day nel componente JScript di Microsoft Windows

31 maggio 2018

È stata resa nota una vulnerabilità zero-day nel componente JScript di Windows che può causare l'esecuzione di codice malevolo arbitrario.Leggi tutto

Nuove varianti degli attacchi side-channel alle CPU

22 maggio 2018

Lo scorso 21 maggio è stata rivelata pubblicamente l'esistenza di due nuove varianti degli attacchi di tipo side-channel alle CPU noti come Meltdown e Spectre.Leggi tutto