Microsoft, come ogni mese, corregge i problemi scoperti in Windows, inclusa in questo caso una vulnerabilità zero-day già sfruttata per sferrare attacchi. Il Patch Tuesday di dicembre è relativamente contenuto, includendo solo 36 correttivi per altrettanti problemi di sicurezza, sette dei quali catalogati come “critici”. Si tratta in tutti e sette i casi di bug che consentono potenzialmente l’esecuzione di codice da remoto e che si distribuiscono su tre prodotti software: l’ambiente di sviluppo Visual Studio (se controllato da un host Git), l’hypervisor Hyper-V e Win32k, un elemento del sotto-sistema di Windows che gestisce l’interfaccia grafica del sistema operativo.

 

Nessuna delle vulnerabilità critiche sembra essere stata già sfruttata, ma in compenso sono stati rilevati attacchi eseguiti sulla base di un’altra vulnerabilità, catalogata come “importante” e relativa anch’essa a Win32k. In questo caso l’attaccante non può direttamente eseguire codice arbitrario da remoto, ma può realizzare un’escalation di privilegi. Il problema si verifica “quando il componente Win32k non riesce a gestire correttamente gli oggetti in memoria”, ha spiegato Microsoft. “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”. 

 

Lo zero-day, scoperto da Kaspersky, è identificato dalla sigla CVE-2019-1458. Sulla base di valutazioni tecniche, un collaboratore della Zero Day Initiative di Trend Micro, Dustin Childs, ritiene che questo attacco sia collegato allo zero-day di Chrome (CVE-2019-13720) scoperto in ottobre e successivamente corretto da Google tramite patch. Kaspersky ha confermato la teoria di un collegamento tra questi due zero-day.

 

Nel Patch Tuesday di dicembre, oltre ai correttivi rivolti a Windows, sono incluse patch relative a SQL Server, Visual Studio, Skype for Business, Office, Office Services e Web Apps.