Con un aggiornamento del Patch Tuesday di giugno, Microsoft non è all'altezza

Jul 13, 2023

Di Susan Bradley, scrittrice collaboratrice, Computerworld |

Ho seguito per anni le patch di Microsoft per Windows e ho osservato attentamente tutte le modifiche apportate dall'azienda. Ricordo quando dovevi installare gli aggiornamenti in un certo ordine e guardavo quale doveva essere installato per primo. Ricordo l'arrivo delle patch automatizzate utilizzando Software Update Services (in seguito chiamati Windows Server Update Services). Ho visto come siamo passati da un sistema in cui ogni vulnerabilità veniva risolta individualmente a quello che abbiamo ora: patch cumulative.

La patch ideale è autonoma. Installa, riavvia, torna al tuo lavoro. Non provoca effetti collaterali. Protegge il sistema operativo. E te ne dimentichi perché fa quello che dovrebbe fare.

Molti nel settore della sicurezza ricordano specifici incidenti di sicurezza e ne parlano poeticamente. Tendo a ricordare particolari cerotti e i loro effetti collaterali. Il mio preferito è stato un aggiornamento di molto tempo fa che ha attivato una schermata blu di morte. Questo particolare aggiornamento, MS10-015, ha risolto un problema di elevazione dei privilegi apportando modifiche ai registri del kernel. Il problema: in alcuni luoghi al di fuori degli Stati Uniti, gli utenti eseguivano software che ignoravano la necessità di una chiave di licenza del prodotto e utilizzavano esattamente gli stessi registri per collegarsi al kernel di Windows.

Pertanto, quando è stata installata la patch, è stato immediatamente attivato un BSOD e non è stato possibile ripristinare il computer. Per arrivare alla causa principale, Microsoft è arrivata addirittura ad acquistare un laptop da un cliente interessato. (La storia è raccontata in questo video da Dustin Childs, capo del Microsoft Security Response Center.)

Avanti veloce al rilascio del Patch Tuesday di questo mese. Comprendeva un aggiornamento che non protegge completamente il sistema operativo finché qualcuno non distribuisce hive e chiavi del registro, dettagli che sono quasi sepolti nell'articolo della Knowledge Base. Per trovarlo, dovevi espandere la sezione Windows 10 21H2 per accedere a un piccolo collegamento a un articolo aggiuntivo della Knowledge Base. Intendiamoci, 21H2 ha ricevuto il suo aggiornamento finale questo mese, quindi mentre Microsoft spesso mostra le modifiche che interessano sia 21H2 che 22H2 in questo modo nello stesso bollettino, sembra strano seppellire queste informazioni così in basso nella cronologia degli aggiornamenti.

I dettagli su una delle patch di giugno di Microsoft che richiedono approfondimenti in un articolo aggiuntivo della KB.

La guida per intraprendere ulteriori azioni si trova nella sezione "per saperne di più" e non è nemmeno chiaro se dobbiamo aggiungere manualmente l'hive del registro. Perché questo non faceva parte dell'aggiornamento? (La patch non include nemmeno le chiavi di registro in un'impostazione disabilitata, gli utenti devono aggiungere l'intero hive da soli.) Quindi, giovedì scorso, Microsoft ha notato che i passaggi manuali potrebbero introdurre una "modifica potenziale di rottura" ma non ha fornito indizi su cosa potrebbe influenzare quel cambiamento o anche cosa cercare.

Microsoft ha aggiunto ulteriore confusione alla patch con una nota di follow-up il 15 giugno.

La chiave di registro necessaria è univoca per ciascuna versione di Windows 10 e 11, nonché per Server 2022. Ora, ci sono alcune buone notizie qui. La vulnerabilità è descritta in questo modo:

Un utente autenticato (aggressore) potrebbe causare una vulnerabilità legata alla divulgazione di informazioni nel kernel di Windows. Questa vulnerabilità non richiede privilegi di amministratore o altri privilegi elevati.

L'utente malintenzionato che sfrutta con successo questa vulnerabilità potrebbe visualizzare la memoria heap da un processo privilegiato in esecuzione sul server.

Per sfruttare con successo questa vulnerabilità è necessario che un utente malintenzionato coordini l'attacco con un altro processo privilegiato eseguito da un altro utente nel sistema.

Tradotto, questo sarebbe un aggressore che prende di mira un obiettivo di alto valore, non i consumatori o anche molte aziende. E non sarebbe un attacco banale da portare a termine, dato che dovrebbe essere un attacco misto che richiede tempo e sforzi aggiuntivi. Ciò non minimizza ancora le mie preoccupazioni su quanto sia stata negativa la comunicazione su questa particolare versione, in particolare la mancanza di informazioni su quali effetti collaterali potrebbero verificarsi. Ho aggiunto manualmente l'hive del registro a un computer Windows 10 22H2 in ufficio e a un PC Windows 11 22H2 a casa e non ho riscontrato alcun impatto diretto.