Microsoft si appoggia al Patch Tuesday di aprile per risolvere due vulnerabilità zero-day di Windows. Il tradizionale aggiornamento, distribuito il secondo martedì di ogni mese, a questo giro porta con sé alcuni correttivi per due bug molto simili (Cve-2019-0803 e Cve-2019-0859), scovati dai team di ricerca di Alibaba Cloud e di Kaspersky. Entrambe le falle riguardano Win32k e potrebbero scatenare un’escalation dei privilegi a causa di una gestione impropria degli oggetti conservati in memoria. Un hacker che dovesse riuscire a sfruttare la vulnerabilità potrebbe eseguire codice in kernel mode, installando o modificando file e programmi e creando nuovi utenti con privilegi massimi. Per riuscire nel suo intento, però, l’attaccante dovrebbe innanzitutto accedere al sistema e, da qui, eseguire un’applicazione maligna. L’aggiornamento rilasciato da Microsoft corregge la modalità con cui Win32k gestisce gli oggetti in memoria.
Non si conoscono ulteriori dettagli sul bug, tranne il fatto che probabilmente sia già stato sfruttato con successo dagli hacker. Trattandosi della sesta falla zero-day di Win32k che Kaspersky riporta negli ultimi sei mesi, e considerando gli exploit già avvenuti, è molto probabile che anche quest’ultima sia stata ampiamente utilizzata per violare i sistemi affetti.
Oltre a questi due gravi bachi, il Patch Tuesday risolve però anche tre bug di Office Access Connectivity (Cve-2019-0824, Cve-2019-0825 e Cve-2019-0827), tutti sfruttabili da remoto per l’esecuzione di codice, e una vulnerabilità (Cve-2019-0853) contenuta in Windows Gdi+: l’errore scatta in fase di parsing di un file Emf e l’exploit può essere portato a termine da remoto introducendo nella macchina un file appositamente creato, per esempio tramite email o convincendo la vittima a visitare un sito Web compromesso.
Complessivamente, il Patch Tuesday di aprile chiude 74 falle, di cui 15 critiche, per i seguenti prodotti: Windows, Internet Explorer, Edge, Office, Chakracore, Asp.net, Exchange Server, Team Foundation Server, Azure Devops Server, Open Enclave Sdk, Windows Admin Center e Adobe Flash Player. L’elenco completo degli aggiornamenti di quest’ultimo componente è disponibile a questa pagina. L’update è installabile su Windows 7 Sp1, Windows Server 2008 R2 Sp1, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2, mentre per Windows 10 è stato rilasciato un pacchetto cumulativo che contiene solo novità qualitative.