Microsoft distribuisce patch di Windows per zero-day sfruttati attivamente, più bug

Nell'ultima patch per il loro sistema operativo rilasciata proprio questa settimana, Microsoft ha corretto ben 66 bug documentati. Come previsto, non tutti sono critici, ma molti hanno ricevuto valutazioni "critiche" sulle loro voci CVE e uno di questi è effettivamente sfruttato in natura dagli attori delle minacce.

La vulnerabilità che secondo quanto riferito è già stata sfruttata da malintenzionati in circolazione è codificata come CVE-2021-40444 ed è un bug di esecuzione di codice remoto MSHTML. Secondo i rapporti di ThreatPost, la vulnerabilità 40444 è stata sfruttata attivamente dagli hacker per circa mezzo mese, con discussioni sul dark web e tutorial su come sfruttarla esattamente.

La gamma di bug coperti dal "Patch Tuesday" di metà settembre riguarda sia il sistema operativo Windows, sia una serie di componenti di Windows, tra cui il browser Edge, il pacchetto Office di Microsoft e i server SharePoint.

"Patch Tuesday" è il nome dato al secondo martedì di ogni mese, quando la maggior parte delle aziende rilascia patch e fix di sicurezza per le proprie applicazioni più diffuse.

Nel corso del 2021, il numero medio di problemi risolti da Microsoft con ogni Patch Tuesday è stato costantemente inferiore rispetto agli stessi periodi nel 2020. Mentre nel 2020, la maggior parte dei rapporti di Patch Tuesday includeva ben oltre 100 bug, il numero è sceso a rimanere sotto 100 costantemente durante i primi sette mesi dell'anno.

Per quanto riguarda il bug CVE-2021-40444, secondo la descrizione del problema di Microsoft, potrebbe consentire agli aggressori di creare un controllo ActiveX dannoso incorporato nei file di documenti di MS Office, che a loro volta ospitano lo stesso motore di rendering utilizzato dal browser. Tutto ciò che rimarrebbe per gli hacker è in qualche modo indurre la vittima ad aprire il documento carico di malware.

Questo di solito viene fatto attraverso vari trucchi di ingegneria sociale ed e-mail e truffe cariche di malware che cercano di indurre gli utenti ad aprire allegati dannosi contenuti nelle e-mail.

September 15, 2021
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.