L’aggiornamento di Windows: qualcuno ci tiene, qualcuno lo sottovaluta.
L’ultimo ciclo di aggiornamenti mensili di sicurezza Microsoft è stato rilasciato con correzioni per 68 vulnerabilità che coprono il suo bagaglio software, comprese le patch per sei 0-day che potrebbero venire sfruttati per intrusioni, qualcosa di simile era già stato visto in precedenza.
12 problemi sono classificati come critici, due sono classificati come alti e 55 sono classificati come importanti per gravità. Questo include anche i punti deboli che sono stati eliminati da OpenSSL la settimana scorsa.
Oltretutto, all’inizio del mese era stato affrontato separatamente un difetto di programmazione sfruttato attivamente dei browser basati su Chromium (CVE-2022-3723) che è stato inserito da Google come parte di un aggiornamento fuori banda alla fine del mese scorso (poichè anche Edge, per chi non lo sapesse, si base su Chromium).
Cosa ci dicono gli esperti delle novità di questo aggiornamento di Windows?
“La grande novità è che due vecchi CVE 0-day che interessano Exchange Server, resi pubblici alla fine di settembre, sono stati finalmente risolti“, ha affermato Greg Wiseman, product manager di Rapid7.
Wiseman in seguito aggiunte: “Si consiglia ai clienti di aggiornare immediatamente i propri sistemi Exchange Server, indipendentemente dal fatto che siano stati applicati eventuali passaggi di mitigazione consigliati in precedenza. Le regole di mitigazione non sono più consigliate una volta che i sistemi sono stati aggiornati“.
Ecco i bug corretti dall’aggiornamento
L’elenco delle vulnerabilità attivamente sfruttate, che consentono di intrudersi con i privilegi da amministratore con l’aggravante dell’esecuzione di codice in modalità remota, è il seguente:
- CVE-2022-41040 (punteggio CVSS: 8,8) – Microsoft Exchange Server Elevation of Privilege Vulnerability (conosciuta anche come ProxyNotShell);
- CVE-2022-41082 (punteggio CVSS: 8,8) – Microsoft Exchange Server Elevation of Privilege Vulnerability (ossia ProxyNotShell, come sopra);
- CVE-2022-41128 (punteggio CVSS: 8,8) – Vulnerabilità legata all’esecuzione di codice in modalità remota di Windows Scripting Languages;
- CVE-2022-41125 (punteggio CVSS: 7,8) – Aumento delle vulnerabilità dei privilegi da amministratori del servizio di isolamento delle chiavi CNG di Windows;
- CVE-2022-41073 (punteggio CVSS: 7,8) – Vulnerabilità che permetteva dei privilegi da amministratore dello spooler di stampa di Windows;
- CVE-2022-41091 (punteggio CVSS: 5,4) – Vulnerabilità di bypass della funzionalità di sicurezza Web di Windows Mark of the Web.
Ai signori Benoît Sevens e Clément Lecigne del Threat Analysis Group (TAG) di Google è stato attribuito il merito di aver segnalato CVE-2022-41128, che risiede nel componente JScript9 e si verifica quando una vittima viene indotta con l’inganno a visitare un sito Web appositamente predisposto, il tutto corretto grazie a questo aggiornamento.
CVE-2022-41091 è uno dei due difetti che permetteva il bypass della sicurezza di Windows Mark of the Web (MoTW) emersi negli ultimi mesi ed è stato recentemente scoperto come un’arma del creatore del ransomware Magniber per prendere di mira gli utenti con falsi aggiornamenti software.
“Un utente malintenzionato può creare un file dannoso che potrebbe eludere le difese di Mark of the Web (MotW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come Protected View in Microsoft Office, che si basano sul tagging MotW“, ha affermato Microsoft in un avviso.
Il secondo difetto MotW da risolvere è CVE-2022-41049 (conosciuto anche come ZippyReads), segnalato dal ricercatore di sicurezza di Analygence Will Dormann, si riferisce all’impossibilità di impostare il flag Mark of the Web per archiviare i file estratti (in sostanza: impossibilità di salvare i file).
È probabile che i due difetti di escalation dei privilegi in Print Spooler e CNG Key Isolation Service vengano abusati da malintenzionati (hacker) come seguito a un compromesso iniziale e ottengano privilegi di SISTEMA, ha affermato Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs.
C’è dell’altro da sapere su questo aggiornamento, “questo livello di accesso più elevato [praticamente amministratore] è necessario per disabilitare o manomettere gli strumenti di monitoraggio della sicurezza prima di eseguire attacchi alle credenziali con strumenti, come Mimikatz, che possono consentire agli aggressori di spostarsi lateralmente attraverso una rete“, ha aggiunto Breen.
Altro da sapere su questo aggiornamento?
Altre quattro vulnerabilità di livello critico nella patch di novembre che vale la pena sottolineare sono i difetti di elevazione dei privilegi (amministratore) in Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) e Microsoft Exchange Server (CVE-2022-41080) e un difetto di negazione del servizio che interessava Windows Hyper-V (CVE-2022-38015).
L’elenco delle correzioni per i difetti critici è accompagnato da quattro vulnerabilità di esecuzione di codice in modalità remota nel protocollo PPTP (Point-to-Point Tunneling Protocol), tutte con punteggi CVSS di 8,1 (CVE-2022-41039, CVE-2022-41088 e CVE- 2022-41044) e un altro dei linguaggi di scripting Windows JScript9 e Chakra (CVE-2022-41118).
Oltre a questi problemi, l’aggiornamento di Patch Tuesday risolve anche una serie di errori di esecuzione di codice in modalità remota in Microsoft Excel, Word, driver ODBC, Office Graphics, SharePoint Server e Visual Studio, nonché una serie di bug di escalation dei privilegi in Win32k, Filtro in sovrapposizione e Criteri di gruppo.
Programmi e tools che oltre a Microsoft che si sono “adeguati” a questo aggiornamento di Windows
Microsoft a parte, gli aggiornamenti di sicurezza sono stati rilasciati anche da altri fornitori dall’inizio del mese per correggere diverse vulnerabilità, tra cui: