Microsoft ha rilasciato una correzione per un difetto critico in Internet Explorer (IE) attualmente sfruttato da minacce in-the-wild. Descritta nel CVE-2019-1429, la vulnerabilità fa parte del batch di aggiornamenti di sicurezza regolari di questo mese noto come Patch Tuesday.
Lo zero-day è un difetto di esecuzione del codice remoto che, secondo la consulenza di Microsoft, ha a che fare con il modo in cui il motore di scripting del browser gestisce gli oggetti in memoria. La falla nella sicurezza interessa tutte le attuali versioni di IE e potrebbe essere sfruttata da un criminale per attirare le vittime a visitare un sito Web dannoso tramite il browser.
“Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe ottenere gli stessi diritti dell’utente corrente. Se l’utente in uso è connesso con diritti di amministratore, un malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe assumere il controllo del sistema interessato”, come affermato dal colosso della tecnologia. A questo punto i criminali potrebbero installare programmi, manomettere i dati e creare nuovi account con diritti utente completi.
È importante sottolineare che esiste un altro possibile vettore di attacco che non richiede nemmeno l’utilizzo di IE per le tipiche esigenze di navigazione Web. “Un utente malintenzionato potrebbe anche incorporare un controllo ActiveX contrassegnato come sicuro per l’inizializzazione in un’applicazione o in un documento di Microsoft Office che ospita il motore di rendering di IE”, sempre secondo Microsoft.
I dettagli sulla natura degli attacchi che sfruttano la vulnerabilità sono scarsi, che è stata scoperta in modo indipendente dai ricercatori di Google, Resecurity e iDefense Labs. Tuttavia, Resecurity ha affermato che il difetto è stato probabilmente sfruttato insieme a una vulnerabilità scoperta in precedenza descritta nel CVE-2019-0880 . La compagnia ha smesso di attribuire gli attacchi a un particolare gruppo APT, ma ha dichiarato di ritenere che gli attacchi siano stati condotti da un gruppo di cyberespionaggio per colpire una serie di vittime in varie parti del mondo.
Non sono note soluzioni alternative per gli utenti che non possono installare prontamente la correzione. Occorre a tal proposito precisare che gli zero-day non sono l’unico motivo per cui sarebbe opportuno aggiornare i sistemi il prima possibile, soprattutto quando tale operazione richiede un minimo intervento da parte dell’utente.
Abbiamo riassunto in questa tabella ripresa dal SANS Technology Institute, il pacchetto di patch di sicurezza di questo mese corregge 74 difetti in vari prodotti e servizi, tra cui Microsoft Edge, Office, Exchange Server e Windows Hyper-V. A quindici delle vulnerabilità è stato assegnato il punteggio di gravità più elevato tra quelli di Microsoft “critico”, mentre il resto è indicato come “importante”.
Lascia un commento