L’Agenzia per la Sicurezza della Cybersecurity e dell’Infrastruttura degli Stati Uniti (CISA) ha segnalato una recente falla di sicurezza, fortunatamente risolta in poco tempo nei prodotti .NET e Visual Studio di Microsoft al suo catalogo di Vulnerabilità Sfruttate Conosciute (KEV, Known Exploited Vulnerabilities), citando prove di un’attiva sfruttazione.
Cosa è stato rivelato delle librerie .NET
Identificata come CVE-2023-38180 (punteggio CVSS: 7,5), questa falla di gravità elevata riguarda un caso di negazione del servizio (DoS) che colpisce .NET e Visual Studio.
È stata affrontata da Microsoft come parte degli aggiornamenti del Martedì delle Patch di agosto 2023, spediti all’inizio di questa settimana, classificandola con una valutazione di “Più Probabile lo Sfruttamento“.
Sebbene i dettagli esatti riguardanti la natura dello sfruttamento siano poco chiari, il produttore di Windows ha riconosciuto l’esistenza di una dimostrazione di concetto (PoC) nella sua informativa. Ha inoltre affermato che gli attacchi che sfruttano la falla possono essere eseguiti senza privilegi aggiuntivi o interazione dell’utente.
“Il codice di esempio di uno sfruttamento è disponibile, ma una dimostrazione di attacco non è praticabile per la maggior parte dei sistemi“, ha dichiarato l’azienda. “Il codice o la tecnica non è funzionale in tutte le situazioni e potrebbe richiedere una modifica sostanziale da parte di un attaccante esperto.”
Le versioni colpite del software includono ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versione 17.2, Microsoft Visual Studio 2022 versione 17.4 e Microsoft Visual Studio 2022 versione 17.6.
Per mitigare i potenziali rischi, la CISA ha raccomandato alle agenzie del Ramo Esecutivo Civile Federale (FCEB) di applicare le correzioni fornite dal fornitore per la vulnerabilità entro il 30 agosto 2023.
Come tenere aggiornato in automatico
Dato che queste problematiche solitamente vengono risolte dai programmatori che poi si mettono d’accordo per aggiornare il sistema operativo, inutile dire che dovrai tenere il sistema di Windows aggiornato.
In questo caso le librerie .NET, tuttavia, o sono installate esternamente dall’utente o si installano in automatico tramite qualche programma (programmi di grafica, testo, videogiochi, etc.).
Per tua fortuna Windows Update ha una curiosa funzione: aggiorna in automatico tutti i programmi e gli applicativi (come Microsoft Visual Studio e .NET).
Tanto per cominciare vai sulla schermata di Windows Update e ti comparirà questa schermata.
Scorrendo in basso noterai la voce “Opzioni Avanzate”, cliccaci e ti ritroverai su questa schermata.
A questo punto ti basterà semplicemente spuntare la prima opzione “Ricevi aggiornamenti per altri prodotti Microsoft durante l’aggiornamento di Windows”; in questo modo non ti servirà andare in cerca manualmente la risoluzione Windows si arrangerà da sé ad aggiornare le librerie .NET, dato che le considera “una cosa sua”, esattamente come il pacchetto Office.
C’è anche da dire che tramite optionalfeatures.exe, potrebbero non essere attivate le spunte relative alle librerie .NET.
In tal caso digita sulla barra di windows optionalfeatures.exe, e assicurarsi che le due famose spunte siano attivate.
Le spunte sono, come puoi vedere le prime due.
L’importanza di .NET per programmatori e non solo
Le librerie .NET non sono importanti solamente per chi gioca o per chi usa alcuni programmi e per videogiochi, ma in alcuni casi fanno proprio parte della sicurezza informatica del sistema operativo.
Infatti permettono non solo che il sistema operativo sia più sicuro se si installano programmi che vanno su Windows stesso, ma permettono la comunicazione con altri sistemi operativi, in alcuni casi; per queste e molte altre ragioni sono librerie molto importanti, ma la loro importanza andrebbe trattata in altra sede.
