Alert GCSA-22116 - Microsoft Security Update - Ottobre 2022

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

******************************************************************

alert ID: GCSA-22116
data: 12 ottobre 2022
titolo: Microsoft Security Update - Ottobre 2022

******************************************************************

:: Descrizione del problema

Microsoft ha pubblicato il security update mensile per ottobre 2022,
con questa release vengono risolte 85 vulnerabilita', 13 delle quali
sono classificate come "critiche".

La seguente vulnerabilita', di livello elevato, risulta in corso di sfruttamento

CVE-2022-41033
Windows COM+ Event System Service Elevation of Privilege Vulnerability

A fine settembre Microsoft ha dato notizia di due gravi vulnerabilita' zero-day
relative a Microsoft Exchange Server (CVE-2022-41040, CVE-2022-41082),
soprannominate ProxyNotShell.

Purtroppo queste vulnerabilita' sono attivamente sfruttate, ma non sono
ancora disponibili aggiornamenti che le risolvano.
Microsoft ha pubblicato un articolo con delle misure di mitigazione.

Maggiori dettagli sono disponibili alla sezione "Riferimenti".


:: Software / Tecnologie interessate

Windows
Extended Security Updates (ESU)
Azure
Edge browser (Chromium-based)
Microsoft Office
System Center
Developer Tools


:: Impatto

Denial of Service (DoS)
Acquisizione di privilegi piu' elevati (EoP)
Esecuzione remota di codice arbitrario (RCE)
Bypass delle funzionalita' di sicurezza (SFB)
Information Disclosure (ID)
Provide Misleading Information (spoofing)


:: Soluzioni

Per default l'installazione degli aggiornamenti
avviene in maniera automatica.

In Windows per aggiornare manualmente scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update

Verificare di aver installato la versione piu' recente del

Servicing Stack Updates
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001
https://docs.microsoft.com/it-it/windows/deployment/update/servicing-stack-updates

Security Update Guide
https://msrc.microsoft.com/update-guide/deployments

Windows Update domande frequenti
https://support.microsoft.com/en-us/help/12373/windows-update-faq

Gli aggiornamenti sono disponibili anche tramite WSUS ed il
catalogo di Microsoft Update
https://www.catalog.update.microsoft.com/

Gli utenti che utilizzano ancora Windows 7, Windows Server 2008 o 2008 R2
devono acquistare l'Extended Security Update per continuare a ricevere gli aggiornamenti
https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates


:: Riferimenti

Microsoft Security Updates - Release Notes
https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct
https://msrc.microsoft.com/update-guide/

Release notes for Microsoft Edge Security Updates
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2022-patch-tuesday-fixes-zero-day-used-in-attacks-84-flaws/

Krebs on Security
https://krebsonsecurity.com/2022/10/microsoft-patch-tuesday-october-2022-edition/

SANS Internet Storm Center
https://isc.sans.edu/forums/diary/October%202022%20Microsoft%20Patch%20Tuesday/29138/

SecurityWeek
https://www.securityweek.com/microsoft-warns-new-zero-day-no-fix-yet-exploited-exchange-server-flaws

The Hacker News
https://thehackernews.com/2022/10/microsoft-patch-tuesday-fixes-new.html


Microsoft - The Exchange Team Blog
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2022-exchange-server-security-updates/ba-p/3646263
https://techcommunity.microsoft.com/t5/exchange-team-blog/customer-guidance-for-reported-zero-day-vulnerabilities-in/ba-p/3641494

Microsoft Security Threat Intelligence
https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

Krebs on Security
https://krebsonsecurity.com/2022/09/microsoft-two-new-0-day-flaws-in-exchange-server/

Microsoft Exchange vulnerable to SSRF and RCE
https://kb.cert.org/vuls/id/915563

CSIRT - Italia
https://www.csirt.gov.it/contenuti/vulnerabilita-0-day-in-exchage-server-al03-220930-csirt-ita


Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCY0aHqg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCic4An1l7Hf6L311S70yKiIHajueUY7u9AKDYI0hOEhOU
qjVaG0Pa1Ggi3xCiKg==
=F3zT
-----END PGP SIGNATURE-----