Microsoft corregge 73 problemi col Patch Tuesday

Microsoft ha rilasciato patch per affrontare 73 falle di sicurezza che coinvolgono la sua gamma di software come parte degli aggiornamenti di Patch Tuesday di febbraio 2024, tra cui due zero-day che sono stati oggetto di sfruttamento attivo.

Contenuti

Quali sono i problemi risolti da Microsoft Patch software da altri fornitori

Delle 73 vulnerabilità, 5 sono classificate come critiche, 65 sono classificate come importanti e tre sono classificate come moderate in gravità e questo si aggiunge alle 24 falle che sono state corrette nel browser Edge basato su Chromium dal rilascio degli aggiornamenti di Patch Tuesday il 24 gennaio.

Quali sono i problemi risolti da Microsoft

Le due falle elencate come sotto attacco attivo al momento del rilascio sono le seguenti:

CVE-2024-21351 (punteggio CVSS: 7,6) – Vulnerabilità di bypass della funzione di sicurezza di Windows SmartScreen
CVE-2024-21412 (punteggio CVSS: 8,1) – Vulnerabilità di bypass della funzione di sicurezza dei file Internet Shortcut

“La vulnerabilità consente a un criminale malintenzionato di iniettare codice in SmartScreen e potenzialmente ottenere l’esecuzione del codice, il ché potrebbe portare a una qualche esposizione dei dati, mancanza di disponibilità del sistema o entrambe“, ha dichiarato Microsoft riguardo a CVE-2024-21351.

Lo sfruttamento riuscito della falla potrebbe consentire a un attaccante di aggirare le protezioni di SmartScreen e eseguire codice arbitrario; tuttavia, affinché l’attacco funzioni, il criminale informatico deve inviare all’utente un file dannoso e convincerlo ad aprirlo.

CVE-2024-21412, in modo simile, consente a un attaccante non autenticato di bypassare i controlli di sicurezza visualizzati inviando un file appositamente creato a un utente preso di mira.

Ov3r_stealer

“Tuttavia, l’attaccante non avrebbe modo di forzare un utente a visualizzare il contenuto controllato dall’attaccante“, ha reso noto Redmond. “Invece, l’attaccante dovrebbe convincerli ad agire cliccando sul collegamento del file“.

CVE-2024-21351 è la seconda vulnerabilità di bypass scoperta in SmartScreen dopo CVE-2023-36025 (punteggio CVSS: 8,8), che è stata corretta dalla gigante tecnologica nel novembre 2023; la falla è stata successivamente sfruttata da diversi gruppi di hacking per diffondere DarkGate, Phemedrone Stealer e Mispadu.

Trend Micro, che ha dettagliato una campagna di attacco condotta da Water Hydra (noto anche come DarkCasino) mirata a operatori di mercato finanziario mediante una sofisticata catena di attacchi zero-day sfruttando CVE-2024-21412, ha descritto CVE-2024-21412 come un bypass per CVE-2023-36025, consentendo così ai criminali informatici di eludere i controlli di SmartScreen.

Water Hydra, individuato per la prima volta nel 2021, ha “il vizio” di lanciare attacchi contro banche, piattaforme di criptovalute, servizi di trading, siti di gioco d’azzardo e casinò per consegnare un trojan chiamato DarkMe utilizzando exploit zero-day, compresa la falla di WinRAR emersa nell’agosto 2023 (CVE-2023-38831, punteggio CVSS: 7,8).

Alla fine dello scorso anno, la società cinese di sicurezza informatica NSFOCUS ha promosso il gruppo di hacking “motivato economicamente” a una minaccia persistente avanzata completamente nuova (APT: Advanced Persistent Threat).

“Nel gennaio 2024, Water Hydra ha aggiornato la sua catena di infezione sfruttando CVE-2024-21412 per eseguire un file Microsoft Installer (.MSI) dannoso, semplificando il processo di infezione di DarkMe“, ha detto Trend Micro.

Entrambe le vulnerabilità sono state successivamente aggiunte al catalogo delle vulnerabilità conosciute sfruttate (KEV) dall’Agenzia per la sicurezza informatica e infrastrutturale degli Stati Uniti (CISA), che sollecita le agenzie federali ad applicare gli ultimi aggiornamenti entro il 5 marzo 2024.

Microsoft ha inoltre corretto cinque falle critiche:

CVE-2024-20684 (punteggio CVSS: 6,5) – Vulnerabilità di denial of service di Windows Hyper-V
CVE-2024-21357 (punteggio CVSS: 7,5) – Vulnerabilità di esecuzione remota del codice di Windows Pragmatic General Multicast (PGM)
CVE-2024-21380 (punteggio CVSS: 8,0) – Vulnerabilità di divulgazione delle informazioni di Microsoft Dynamics Business Central/NAV

CVE-2024-21410 (punteggio CVSS: 9,8) – Vulnerabilità di elevazione dei privilegi di Microsoft Exchange Server
CVE-2024-21413 (punteggio CVSS: 9,8) – Vulnerabilità di esecuzione remota del codice di Microsoft Outlook

“CVE-2024-21410 è una vulnerabilità di elevazione dei privilegi in Microsoft Exchange Server“, ha dichiarato Satnam Narang, ingegnere di ricerca senior presso Tenable. “Secondo Microsoft, questa falla è più probabile essere sfruttata dagli attaccanti“.

“L’utilizzo di questa vulnerabilità potrebbe comportare la divulgazione dell’hash NTLM versione 2 di un utente preso di mira, che potrebbe essere trasmesso a un server Exchange vulnerabile in un attacco di relay NTLM o di pass-the-hash, consentendo all’attaccante di autenticarsi come l’utente preso di mira“.

L’aggiornamento di sicurezza risolve inoltre 15 falle di esecuzione remota del codice in Microsoft WDAC OLE DB provider per SQL Server, che un attaccante potrebbe sfruttare inducendo un utente autenticato a tentare di connettersi a un server SQL malevolo tramite OLEDB.

A chiudere il pacchetto c’è una correzione per CVE-2023-50387 (punteggio CVSS: 7,5), una falla di progettazione vecchia di 24 anni nella specifica DNSSEC che può essere abusata per esaurire le risorse della CPU e bloccare i risolutori DNS, causando un rifiuto di servizio (DoS).

La vulnerabilità è stata chiamata KeyTrap dal National Research Center for Applied Cybersecurity (ATHENE) di Darmstadt.

“[I ricercatori] hanno dimostrato che con un singolo pacchetto DNS l’attacco può esaurire la CPU e bloccare tutte le implementazioni DNS ampiamente utilizzate e i fornitori di DNS pubblici, come Google Public DNS e Cloudflare“, ha detto ATHENE. “In effetti, la popolare implementazione DNS BIND 9 può essere bloccata per un massimo di 16 ore“.

Patch software da altri fornitori

Oltre a Microsoft, sono stati rilasciati anche aggiornamenti di sicurezza da altri fornitori nelle ultime settimane per correggere diverse vulnerabilità, tra cui: