Cosa è il Patch Tuesday ed Exploit Wednesday e le implicazione nella cybersecurity dei prodotti Microsoft
Patch Tuesday è il nome dato da Microsoft al secondo martedì di ogni mese, giorno in cui l’azienda pubblicava i suoi aggiornamenti per la sicurezza.
Cominciando con Windows 98, Microsoft incorporò il sistema “Windows Update”, che ricercava in automatico le patch per Windows e le sue componenti, che Microsoft pubblicava ad intermittenza. Con il lancio di Microsoft Update, questo sistema ricerca anche gli aggiornamenti per altri Prodotti Microsoft, inclusi Office, Visual Studio, SQL Server, ed altri.
Il sistema Microsoft Windows Update
Il sistema Windows Update soffriva di due problemi principali: il primo era che l’utente meno esperto ignorava spesso l’esistenza di Windows Update e non lo utilizzava; la soluzione di Microsoft a questo problema fu il sistema di aggiornamento automatico (Automatic Update), che notificava ad ogni utente che un aggiornamento era disponibile per il suo sistema. Il secondo problema era che i clienti con molte copie di Windows non solo dovevano aggiornare ogni installazione di Windows nella compagnia, ma anche disinstallare le patch fornite da Microsoft che disabilitavano le funzionalità esistenti.
Onde ridurre i costi relativi allo sviluppo delle patch, Microsoft introdusse “Patch Tuesday” (il Martedì delle Patch), nell’ottobre del 2003. Le patch di sicurezza si accumulano per un mese, e vengono poi distribuite contemporaneamente ad una data determinata, solitamente il secondo Martedì di ogni mese, data per cui gli amministratori di sistemi si possono tenere pronti. I termini non-Microsoft per il giorno seguente sono “Exploit Wednesday” (Mercoledì dell’Exploit) e “Zero day attack” (Attacco del giorno zero), quando possono essere lanciati degli attacchi contro le vulnerabilità appena annunciate.
Implicazioni per la sicurezza
La più ovvia implicazione per la sicurezza è che i problemi di sicurezza che hanno una soluzione non sono resi disponibili per il pubblico per un periodo che può durare fino ad un mese. Questa politica è adeguata se la vulnerabilità è scarsamente nota, ma non è sempre questo il caso.
Nel passato, si sono avuti casi dove informazioni circa una vulnerabilità o veri e propri worms sono stati diffusi fra gli utenti un giorno o due prima del “Martedì della Patch”. Ciò non lascia a Microsoft il tempo sufficiente per risolvere tali problemi e quindi, teoricamente, lascia una finestra di un mese per eventuali attacchi che sfruttino la falla, prima che una patch sia disponibile per sistemare ufficialmente il problema. Microsoft tuttavia pubblica le patch critiche appena sono pronte[3], perciò questo non è normalmente un problema.
Exploit Wednesday
Molti sfruttamenti delle falle nei vari sistemi avvengono poco dopo la pubblicazione di una patch. Analizzando la patch medesima, gli sfruttatori delle falle possono capire con facilità come approfittare delle vulnerabilità evidenziate ed attaccare i sistemi che non sono stati patchati. In seguito a questi eventi, si coniò il termine “Exploit Wednesday” (Mercoledì dell’Exploit).
Impatto sulla larghezza di banda
Nell’agosto del 2007, Skype sperimentò un’interruzione del servizio di due giorni in seguito ad un “Patch Tuesday”; secondo Skype tale interruzione fu causata da un bug precedentemente non identificato e rivelato dal numero anormalmente alto di riavvii.
Elenco completo dei prodotti oggetto della Patch Tuesday di febbraio 2018
Il “Patch Tuesday” di questo mese includeva aggiornamenti di sicurezza per Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Adobe Flash Player e altri software, che risolvono oltre 50 vulnerabilità di sicurezza.
Le patch principali hanno ottenuto il livello più alto di gravità, quello “critico”. Ciò significa che secondo il team di sicurezza di Microsoft gli hacker avrebbero potuto sfruttare queste falle per attaccare i sistemi da remoto, per esempio rilasciando dei malware progettati per individuare i computer vulnerabili e installarsi all’insaputa dell’utente.
I seguenti prodotti stanno ricevendo una patch di sicurezza correlata di qualche tipo questo mese:
| ChakraCore |
| Internet Explorer 10 |
| Internet Explorer 11 |
| Internet Explorer 9 |
| Microsoft Edge |
| Microsoft Office 2007 Service Pack 2 |
| Microsoft Office 2010 Service Pack 2 (32-bit editions) |
| Microsoft Office 2010 Service Pack 2 (64-bit editions) |
| Microsoft Office 2013 RT Service Pack 1 |
| Microsoft Office 2013 Service Pack 1 (32-bit editions) |
| Microsoft Office 2013 Service Pack 1 (64-bit editions) |
| Microsoft Office 2016 (32-bit edition) |
| Microsoft Office 2016 (64-bit edition) |
| Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions |
| Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions |
| Microsoft Office Word Viewer |
| Microsoft Outlook 2007 Service Pack 3 |
| Microsoft Outlook 2010 Service Pack 2 (32-bit editions) |
| Microsoft Outlook 2010 Service Pack 2 (64-bit editions) |
| Microsoft Outlook 2013 RT Service Pack 1 |
| Microsoft Outlook 2013 Service Pack 1 (32-bit editions) |
| Microsoft Outlook 2013 Service Pack 1 (64-bit editions) |
| Microsoft Outlook 2016 (32-bit edition) |
| Microsoft Outlook 2016 (64-bit edition) |
| Microsoft Project Server 2013 Service Pack 1 |
| Microsoft SharePoint Enterprise Server 2016 |
| Windows 10 for 32-bit Systems |
| Windows 10 for x64-based Systems |
| Windows 10 Version 1511 for 32-bit Systems |
| Windows 10 Version 1511 for x64-based Systems |
| Windows 10 Version 1607 for 32-bit Systems |
| Windows 10 Version 1607 for x64-based Systems |
| Windows 10 Version 1703 for 32-bit Systems |
| Windows 10 Version 1703 for x64-based Systems |
| Windows 10 Version 1709 for 32-bit Systems |
| Windows 10 Version 1709 for 64-based Systems |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows 8.1 for 32-bit systems |
| Windows 8.1 for x64-based systems |
| Windows RT 8.1 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| Windows Server 2012 |
| Windows Server 2012 (Server Core installation) |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 (Server Core installation) |
| Windows Server 2016 |
| Windows Server 2016 (Server Core installation) |
| Windows Server, version 1709 (Server Core Installation) |
È possibile visualizzare l’ elenco completo di cui sopra, insieme agli articoli KB associati e ai dettagli sulla vulnerabilità della sicurezza, nella pagina della Guida all’aggiornamento della sicurezza di Microsoft.
Curiosità
Per la prima volta nella storia, il Patch Tuesday di febbraio 2017 è stato rinviato per un problema rilevato all’ultimo minuto ed è stato pubblicato insieme a quello di marzo 2017.
I consigli sulla cybersecurity
- Non aprire link nelle email. Quello dei link è uno dei metodi più usati dagli hacker per infettare pc e dispositivi. Se non si è sicuri su un link, non bisogna cliccarci. Una lezione da trasferire a manager e dipendenti.
- Garantire uno standard. I software per la sicurezza informatica vanno ottimizzati di continuo. Oltre a questo è necessario scegliere degli standard per la sicurezza e configurare allo stesso modo tutti i dispositivi ITC in azienda.
- Non cliccare sui pop up. Anche i pop up possono essere usati dai criminali informatici per infettare i dispositivi. Inserire un ad blocker può evitare di esporsi a rischi.
- Fare acquisti solo su siti sicuri. Anche se non sono esenti da eventuali attacchi, meglio usare piattaforme affidabili per fare acquisti online che siti che ad esempio, fanno offerte e sconti “miracolosi”.
- Schermare la cam. I big del tech, come Mark Zuckerberg hanno l’abitudine di mettere del nastro adesivo davanti la cam del loro laptop. Misura efficace o eccesso di zelo? Alcuni hacker potrebbero sfruttare falle informatiche e malware per impossessarsi della webcam e spiare il malcapitato, reperire dati utili per ricattarlo.
- Controllare i post sui social media. Facebook, Twitter, LinkedIn, come Instagram, sono degli strumenti che gli hacker usano per reperire informazioni utili e avviare degli attacchi. Gli esperti di cyber security consigliano di rivedere i post pubblicati sui social e fare attenzione a che non contengano alcuna informazione personale.
- Controllare l’accesso sui social media aziendali. Facebook prevede una serie di alert che avvisano l’utente nel caso in cui qualcuno dall’esterno stia provando ad accedere.
- Attivare l’autenticazione a due fattori
- Tenere tutti i software aggiornati inclusi il sistema operativo e l’antivirus
