Microsoft ha rilasciato correzioni software per risolvere 59 bug che interessano il suo portfolio di prodotti, compresi due difetti zero-day che sono stati sfruttati attivamente da attori cibernetici malintenzionati.
Quali sono i bug corretti da Microsoft
Dei 59 difetti, cinque sono classificati come critici, 55 come Importanti e uno come Moderato in termini di gravità. Questo aggiornamento si aggiunge ai 35 difetti risolti nel browser Edge basato su Chromium dall’edizione del Patch Tuesday dello scorso mese, che include anche una correzione per CVE-2023-4863, un grave difetto di overflow del buffer heap nel formato immagine WebP.
I due difetti Microsoft che sono stati oggetto di sfruttamento attivo in attacchi, proprio per via di questi bug, poi corretti, sono elencati di seguito:
- CVE-2023-36761 (punteggio CVSS: 6.2) – Vulnerabilità di divulgazione delle informazioni di Microsoft Word
- CVE-2023-36802 (punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi del servizio di streaming di Microsoft
“Lo sfruttamento di questa vulnerabilità potrebbe consentire la divulgazione degli hash NTLM“, ha dichiarato il produttore di Windows in una nota informativa riguardante CVE-2023-36761, affermando che CVE-2023-36802 potrebbe essere abusato da un malintenzionato per ottenere privilegi di SISTEMA.
Attualmente non sono noti dettagli precisi sulla natura dello sfruttamento o sull’identità dei malintenzionati dietro gli attacchi.
“Lo sfruttamento di CVE-2023-36761 non è limitato solo a un potenziale bersaglio che apre un documento Word malevolo, poiché la semplice anteprima del file può far scattare lo sfruttamento“, ha detto Satnam Narang, ingegnere di ricerca senior presso Tenable. Lo sfruttamento consentirebbe la divulgazione degli hash New Technology LAN Manager (NTLM).”
Alla Microsoft è poi stato aggiunto: “Il primo è stato CVE-2023-23397, una vulnerabilità di elevazione dei privilegi in Microsoft Outlook, che è stata divulgata nella release del Patch Tuesday di marzo.”
Altre vulnerabilità degne di nota includono diverse vulnerabilità di esecuzione del codice a distanza che colpiscono la condivisione della connessione Internet (ICS), Visual Studio, 3D Builder, Azure DevOps Server, Windows MSHTML e Microsoft Exchange Server, e problemi di elevazione dei privilegi nel kernel di Windows, Windows GDI, Windows Common Log File System Driver e Office, tra gli altri.
Patch software da altri fornitori.
Oltre a Microsoft, sono state rilasciate anche correzioni di sicurezza da altri fornitori nelle ultime settimane per correggere diverse vulnerabilità, tra cui:
- Adobe
- Android
- Apache Projects
- Apple
- Aruba Networks
- ASUS
- Cisco
- Citrix
- Dell
- Drupal
- F5
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Jenkins
- Juniper Networks
- Lenovo
- Varie distribuzioni di Linux tra le quali Debian, Oracle Linux, Red Hat, SUSE, e non ultima Ubuntu (e relative derivate)
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- Notepad++
- NVIDIA
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- Splunk
- Spring Framework
- Synology
- TP-Link
- Trend Micro
- Veeam
- VMware
- Zimbra
- Zoom
Aggiornare per risolvere i bug
Sebbene nell’immaginario collettivo gli aggiornamenti di Windows (e non solo) causino spesso bug (cosa a volte vera, ad onor del vero, ma non sempre), è importante farli per aggiornamento con problemi così grossi, perché non è un caso che anche altre aziende grosse (come NVIDIA e AMD) si adeguino e passino anche loro al “contrattacco”, poiché tutto ciò serve per evitare una sorta di effetto domino.
Per quanto a molti possa non piacere, Windows è (volente o nolente), come altri prodotti Microsoft un po’ il cuore pulsante dell’informatica di oggi e purtroppo anche altri sistemi operativi devono adeguarsi, a questo aggiungo che non è possibile che anche altre aziende abbiano bug simili a quelli scovati da Microsoft, di conseguenza portano le mani avanti.
