Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Dentro al Microsoft Patching Tuesday: Luglio 2021

Dentro al Microsoft Patching Tuesday: Luglio 2021 Photo by Glen Carrie on Unsplash
341 parole - Lo leggerai in 1 minuti

Era partito bene a fine 2019 e poi abbandonato, il momento dentro al Patching Tuesday di Microsoft riprende da questo mese con i dati di luglio.

Da questo mese mi aiuterà questo bellissimo script, scoperto da poco. Prende i dati forniti da una API del sito Microsoft e fa una statistica delle vulnerabilità del mese con enfasi su quelle sfruttate attivamente.

Questi i dati di luglio:

July 2021 Security Updates
[+] Found a total of 117 vulnerabilities
  [-] ]32 Elevation of Privilege Vulnerabilities
  [-] ]8 Security Feature Bypass Vulnerabilities
  [-] ]44 Remote Code Execution Vulnerabilities
  [-] ]14 Information Disclosure Vulnerabilities
  [-] ]12 Denial of Service Vulnerabilities
  [-] ]7 Spoofing Vulnerabilities
[+] Found 4 exploited in the wild
  [-] CVE-2021-33771 -- Windows Kernel Elevation of Privilege Vulnerability
  [-] CVE-2021-34448 -- Scripting Engine Memory Corruption Vulnerability
  [-] CVE-2021-31979 -- Windows Kernel Elevation of Privilege Vulnerability
  [-] CVE-2021-34527 -- Windows Print Spooler Remote Code Execution Vulnerability

L’analisi

Delle 117 vulnerabilità corrette, 4 sono in questo momento sfruttate in attacchi reali. Questo significa che esiste un exploit e che quindi la correzione della vulnerabilità è un’attività critica.

CVE Vulnerabilità
CVE-2021-33771 Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-34448 Scripting Engine Memory Corruption Vulnerability
CVE-2021-31979 Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability

In particolare la CVE-2021-34527 è quella balzata agli onori della cronaca col nome di PrintNighmare. A causa di un problema nel sistema di gestione dello spooler di stampa di Windows è possibile eseguire codice arbitrario da remoto.

Su GitHub sono molti i repository contenenti PoC per PrintNightmare (in origine classificato solo come CVE-2021-1675 non corretta completamente da un update precedente), tuttavia l’analisi più bella della vulnerabilità, con spiegato passo passo come sfruttarla è sicuramente questa.

(Updated: )

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list