Microsoft ha rilasciato una patch per 64 vulnerabilità presenti in una serie di prodotti e componenti di diverso tipo, da Windows e Office, a Defender e Azure.

Cinque vulnerabilità sono critiche. Due vulnerabilità sono state diffuse prima del rilascio della patch (il che le rende tecnicamente zero-days), mentre una è già stata sfruttata da alcuni cybercriminali.

Si consiglia di installare gli aggiornamenti il prima possibile.

Vulnerabilità critiche

Tutte e cinque le vulnerabilità critiche appena corrette appartengono alla classe RCE (Remote Code Execution), ovvero possono essere utilizzate per eseguire codice arbitrario sui computer delle vittime.

• CVE-2022-34718: si tratta di un bug presente nel protocollo TCP/IP di Windows, con un punteggio CVSS pari a 9,8. Un utente non autorizzato può utilizzarlo per eseguire codice arbitrario sul computer Windows attaccato con il servizio IPSec abilitato inviandogli un pacchetto IPv6 appositamente creato.
• CVE-2022-34721 e CVE-2022-34722: si tratta di due vulnerabilità nel protocollo Internet Key Exchange che consentono a un criminale di eseguire codice dannoso inviando un pacchetto IP a un computer vulnerabile. Entrambe hanno un punteggio CVSS pari a 9,8. Nonostante queste vulnerabilità interessino solo la versione del protocollo IKEv1, Microsoft ricorda che tutti i sistemi Windows Server sono vulnerabili perché accettano pacchetti sia v1 che v2.
• CVE-2022-34700 e CVE-2022-35805: sono due vulnerabilità che interessano il software di Microsoft Dynamics CRM. Se sfruttate, consentono a un utente autenticato di eseguire comandi SQL arbitrari, dopodiché l’hacker può aumentare i propri diritti ed eseguire comandi all’interno del database di Dynamics 365 con diritti di db_owner. Dato che un utente malintenzionato deve in qualche modo autenticarsi, il punteggio CVSS assegnato a queste vulnerabilità è leggermente inferiore ad altri (8,8), ma sono comunque considerate critiche.