Non è passato molto tempo dalle ultime correzioni effettuate dalla Microsoft ai suoi servizi, pertanto ha rilasciato correzioni per far fronte a ben 63 bug di sicurezza nel suo software nel mese di novembre 2023, inclusi tre difetti che sono stati oggetto di sfruttamento attivo nel mondo virtuale.
Quali sono le correzioni fatte da Microsoft
Di 63 vulnerabilità, tre sono classificati come critici, 56 come importanti e quattro come Moderati in gravità e due di essi sono stati segnalati come noti pubblicamente al momento del rilascio.
Le correzioni si aggiungono a oltre 35 problemi di sicurezza affrontati nel browser Edge basato su Chromium dalla pubblicazione degli aggiornamenti Patch Tuesday di ottobre 2023.
I cinque zero-day di nota sono i seguenti:
- CVE-2023-36025 (Punteggio CVSS: 8.8) – Vulnerabilità di bypass della funzione di sicurezza Windows SmartScreen
- CVE-2023-36033 (Punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi della libreria centrale DWM di Windows
- CVE-2023-36036 (Punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi del driver mini filtro Cloud Files di Windows
- CVE-2023-36038 (Punteggio CVSS: 8.2) – Vulnerabilità di denial of service di ASP.NET Core
- CVE-2023-36413 (Punteggio CVSS: 6.5) – Vulnerabilità di bypass della funzione di sicurezza di Microsoft Office
Sia CVE-2023-36033 che CVE-2023-36036 potrebbero essere sfruttati da un hacker per ottenere i privilegi di SYSTEM, mentre CVE-2023-36025 potrebbe consentire di eludere i controlli di Windows Defender SmartScreen e le relative finestre di avviso.
“L’utente dovrebbe fare clic su un collegamento Internet (.URL) opportunamente creato o su un collegamento ipertestuale che punta a un file collegamento Internet per essere compromesso dall’attaccante“, ha dichiarato Microsoft riguardo a CVE-2023-36025.
CVE-2023-36025 è la terza vulnerabilità zero-day di Windows SmartScreen sfruttata in rete nel 2023 e la quarta negli ultimi due anni; a dicembre 2022, Microsoft ha corretto CVE-2022-44698 (Punteggio CVSS: 5.4), mentre CVE-2023-24880 (Punteggio CVSS: 5.1) è stato corretto a marzo e CVE-2023-32049 (Punteggio CVSS: 8.8) è stato corretto a luglio.
Il produttore di Windows, tuttavia, non ha fornito ulteriori indicazioni sui meccanismi di attacco impiegati e sugli autori delle minacce informatiche che potrebbero utilizzarli; ma lo sfruttamento attivo delle vulnerabilità di elevazione dei privilegi suggerisce che probabilmente vengano utilizzate in combinazione con un bug di esecuzione remota del codice.
“Ci sono state 12 vulnerabilità di elevazione dei privilegi nella libreria centrale DWM negli ultimi due anni, anche se questa è la prima ad essere stata sfruttata nel mondo virtuale come zero-day“, ha dichiarato Satnam Narang, senior staff research engineer presso Tenable, in una dichiarazione.
Lo sviluppo ha spinto l’Agenzia per la sicurezza informatica e dell’infrastruttura degli Stati Uniti (CISA) ad aggiungere i tre problemi al suo catalogo di vulnerabilità conosciute sfruttate (KEV), esortando le agenzie federali ad applicare le correzioni entro il 5 dicembre 2023.
Microsoft ha inoltre corretto due gravi vulnerabilità di esecuzione remota del codice in Protected Extensible Authentication Protocol e Pragmatic General Multicast (CVE-2023-36028 e CVE-2023-36397, punteggi CVSS: 9.8) che un malintenzionato potrebbe sfruttare per attivare l’esecuzione di codice malevolo.
L’aggiornamento di novembre include inoltre una correzione per CVE-2023-38545 (Punteggio CVSS: 9.8), una grave vulnerabilità di overflow del buffer basato su heap nella libreria curl emersa il mese scorso, oltre a una vulnerabilità di divulgazione delle informazioni in Azure CLI (CVE-2023-36052, punteggio CVSS: 8.6).
“Un attaccante che sfrutta con successo questa vulnerabilità potrebbe recuperare password e nomi utente in chiaro dai file di log creati dai comandi CLI interessati e pubblicati da Azure DevOps e/o GitHub Actions“, ha dichiarato Microsoft.
Aviad Hahami, ricercatore di Palo Alto Networks, che ha segnalato il problema, ha dichiarato che la vulnerabilità potrebbe consentire l’accesso alle credenziali memorizzate nel registro delle pipeline e permettere a un avversario di potenzialmente aumentare i propri privilegi per attacchi successivi.
In risposta, Microsoft ha dichiarato di aver apportato modifiche a diversi comandi di Azure CLI per rinforzare Azure CLI (versione 2.54) contro un utilizzo involontario che potrebbe portare all’esposizione di dati segreti.
Patch del software da altri fornitori
Oltre a Microsoft, sono stati rilasciati aggiornamenti di sicurezza anche da altri fornitori nelle ultime settimane per correggere diverse vulnerabilità, tra cui:
- Adobe
- AMD (incluso CacheWarp)
- Android
- Apache Projects
- Apple
- Aruba Networks
- Arm
- ASUS
- Atlassian
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel (incluso Reptar)
- Jenkins
- Juniper Networks
- Lenovo
- Varie distribuzioni di Linux come Debian, Oracle Linux, Red Hat, SUSE, e Ubuntu
- MediaTek
- Mitsubishi Electric
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- SysAid
- Trend Micro
- Veeam
- Veritas
- VMware
- WordPress
- Zimbra
- Zoom
- Zyxel