Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Dentro al Microsoft Patching Tuesday: Settembre 2019

Dentro al Microsoft Patching Tuesday: Settembre 2019 Photo by on Unsplash
676 parole - Lo leggerai in 3 minuti

Una settimana fa è uscito il bollettino Microsoft di Settembre 2019 che riguarda il patching di security. Nelle release notes, possiamo vedere la lista dei CVE che sono stati corretti.

Come scrivevo qualche mese fa, in un processo di patching che prevede il patching ordinario, quello che va fatto ora è analizzare ogni singola voce di questo elenco e cercare di dare un valore di priorità.

Quello che vogliamo ottenere è una scaletta da dare ai nostri sysadmin per far loro capire se questo aggiornamento è obbligatorio o meno. Sì perché ormai da un bel po’ di mesi, le patch di sicurezza di Microsoft si presentano come un blob enorme da installare. Questo porta a dover pianificare con ancor maggior attenzione le attività di remediation.

E no… non sono un tipo patch or die, sono un tipo patch in fretta quando serve, ma per il resto business first, quindi garantire il servizio deve essere l’obiettivo principale. Definire quindi il grado di priorità da applicare ad ogni singolo intervento, sulla base di KPI precisi, ci permette come blue team di aiutare il mio team di operation nel decidere se pianificare un fermo macchina domani, tra quindi giorni o tra due mesi.

L’analisi

Ho fatto il lavoro per voi e queste sono le CVE corrette che, per i miei KPI che mi sono dato, hanno una priorità alta e quindi vanno installati entro il prossimo Patching Tuesday.

CVE Vulnerabilità
CVE-2019-0787 Remote Desktop Client Remote Code Execution Vulnerability
CVE-2019-0788 Remote Desktop Client Remote Code Execution Vulnerability
CVE-2019-1219 Windows Transaction Manager Information Disclosure Vulnerability
CVE-2019-1285 Win32k Elevation of Privilege Vulnerability
CVE-2019-1290 Remote Desktop Client Remote Code Execution Vulnerability
CVE-2019-1235 Windows Text Service Framework Elevation of Privilege Vulnerability
CVE-2019-1291 Remote Desktop Client Remote Code Execution Vulnerability
CVE-2019-1294 Windows Secure Boot Security Feature Bypass Vulnerability
CVE-2019-1295 Microsoft SharePoint Remote Code Execution Vulnerability
CVE-2019-1296 Microsoft SharePoint Remote Code Execution Vulnerability
CVE-2019-1257 Microsoft SharePoint Remote Code Execution Vulnerability

Come possiamo vedere sia RDP che SharePoint la fanno da padrone. Se quindi ho un server dove non sono installati né il servizio di remote desktop né sharepoint, dovrò correre ai ripari aggiornato in fredda pianificando un fermo macchina urgente?

No, posso andare con relativa calma in quel caso.

Avendo quindi 11 vulnerabilità di priorità alta su 80, il valore globale del bollettino sarà di priorità media in quanto 11/80 non supera la soglia che ho fissato e le priorità medie sono in numero maggiore rispetto a quelle di priorità bassa. Per questo motivo definisco uno SLA di applicazione di questo pacchetto di patch a 30 giorni.

La sorpresa

Gli SLA e i KPI sono ovviamente personali, frutto di ragionamenti miei e soprattutto di un processo che ho disegnato a mio uso e consumo.

Però, per chi vuole uno spunto, dal prossimo mese condividerò con gli iscritti alla mailing list del blog un foglio di calcolo dove darò il dettaglio delle CVE corrette nel Patching Tuesday di Ottobre, con un livello di priorità e con l’indicazione della priorità globale.

L’idea è di darvi un qualcosa da cui partire per supportare da subito il vostro team nella comprensione e nell’applicazione delle patch Microsoft. Qui sul blog, mi limiterò ad riportare le vulnerabilità di severità critica e alta.

La seconda sopresa è che sto pensando di fare dei video, un po’ più estesi di quelli pubblicati su Instagram dove “leggiamo” insieme il bollettino Microsoft. Questo diciamo se riesco a rimettere in piedi tutta l’attrezzatura che avevo all’epoca dei Monday Blues

Quindi, se vuoi ricevere la mia analisi approfondita del Patching Tuesday in formato elettronico, corri ad iscriverti alla mailing list. Assieme al patching tuesday riceverai un avviso ogni volta che scriverò un nuovo post e nel prossimo futuro, quando vorrò condividere qualcosa sarai il primo a saperlo.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list