Microsoft ha rilasciato martedì aggiornamenti per risolvere un totale di 90 vulnerabilità di sicurezza, inclusi 10 zero-day, di cui sei già sfruttati attivamente in natura.
Tutti i bug critici (e non) corretti da Microsoft questo mese
Dei 90 bug, sette sono classificati come Critici, 79 come Importanti e uno come Moderato in termini di gravità; questo si aggiunge alle 36 vulnerabilità che il colosso tecnologico ha risolto nel suo browser Edge dal mese scorso.
Gli aggiornamenti del Patch Tuesday sono particolarmente rilevanti per la risoluzione di sei zero-day attivamente sfruttati:
- CVE-2024-38189 (punteggio CVSS: 8.8) – Vulnerabilità di esecuzione di codice remoto in Microsoft Project
- CVE-2024-38178 (punteggio CVSS: 7.5) – Vulnerabilità di corruzione della memoria nel motore di scripting di Windows
- CVE-2024-38193 (punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi nel driver della funzione ausiliaria di Windows per WinSock
- CVE-2024-38106 (punteggio CVSS: 7.0) – Vulnerabilità di elevazione dei privilegi nel kernel di Windows
- CVE-2024-38107 (punteggio CVSS: 7.8) – Vulnerabilità di elevazione dei privilegi nel coordinatore delle dipendenze energetiche di Windows
- CVE-2024-38213 (punteggio CVSS: 6.5) – Vulnerabilità di bypass della funzione di sicurezza “Mark of the Web” di Windows
Problemi su SmartScreen di Microsoft Windows
La CVE-2024-38213, che consente agli attaccanti di aggirare le protezioni di SmartScreen, richiede che un attaccante invii all’utente un file dannoso e lo convinca ad aprirlo; la scoperta e la segnalazione di questa vulnerabilità sono attribuite a Peter Girnus di Trend Micro, suggerendo che potrebbe essere un bypass per CVE-2024-21412 o CVE-2023-36025, precedentemente sfruttati dagli operatori del malware DarkGate.
Questo sviluppo ha portato l’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ad aggiungere le vulnerabilità al suo catalogo di vulnerabilità sfruttate conosciute (KEV), obbligando le agenzie federali ad applicare le correzioni entro il 3 settembre 2024.
Altre correzioni di casa Microsoft all’orizzionte
Quattro delle seguenti CVE sono elencate come pubblicamente note:
- CVE-2024-38200 (punteggio CVSS: 7.5) – Vulnerabilità di spoofing in Microsoft Office
- CVE-2024-38199 (punteggio CVSS: 9.8) – Vulnerabilità di esecuzione di codice remoto nel servizio Line Printer Daemon (LPD) di Windows
- CVE-2024-21302 (punteggio CVSS: 6.7) – Vulnerabilità di elevazione dei privilegi nella modalità Secure Kernel di Windows
- CVE-2024-38202 (punteggio CVSS: 7.3) – Vulnerabilità di elevazione dei privilegi nello stack di aggiornamento di Windows
“Un attaccante potrebbe sfruttare questa vulnerabilità inducendo una vittima ad accedere a un file appositamente creato, probabilmente tramite un’email di phishing“, ha dichiarato Scott Caveza, ingegnere di ricerca di Tenable, riguardo a CVE-2024-38200, che ha poi aggiunto: “Lo sfruttamento riuscito della vulnerabilità potrebbe comportare l’esposizione da parte della vittima degli hash New Technology Lan Manager (NTLM) a un attaccante remoto. Gli hash NTLM potrebbero essere abusati in attacchi relay NTLM o pass-the-hash per estendere ulteriormente la posizione dell’attaccante all’interno di un’organizzazione.”
L’aggiornamento affronta anche una vulnerabilità di escalation dei privilegi nel componente Print Spooler (CVE-2024-38198, punteggio CVSS: 7.8), che consente a un attaccante di ottenere privilegi SYSTEM. “Lo sfruttamento riuscito di questa vulnerabilità richiede che un attaccante vinca una condizione di gara“, ha dichiarato Microsoft.
Detto ciò, Microsoft non ha ancora rilasciato aggiornamenti per CVE-2024-38202 e CVE-2024-21302, che potrebbero essere abusati per orchestrare attacchi di downgrade contro l’architettura di aggiornamento di Windows e sostituire le versioni correnti dei file del sistema operativo con versioni più vecchie.
La divulgazione segue un rapporto di Fortra su una vulnerabilità di denial-of-service (DoS) nel driver Common Log File System (CLFS) (CVE-2024-6768, punteggio CVSS: 6.8) che potrebbe causare un crash del sistema, risultando in una schermata blu della morte (BSoD).
Quando contattato per un commento, un portavoce di Microsoft ha dichiarato che il problema “non soddisfa i requisiti per un servizio immediato secondo le nostre linee guida sulla classificazione della gravità e lo considereremo per un aggiornamento futuro del prodotto.”
“La tecnica descritta richiede che un attaccante abbia già acquisito capacità di esecuzione di codice sulla macchina bersaglio e non concede permessi elevati. Incoraggiamo i clienti a praticare buone abitudini informatiche online, incluso esercitare cautela quando si eseguono programmi non riconosciuti dall’utente“, ha aggiunto il portavoce.
Patch di software da altri fornitori
Oltre a Microsoft, negli ultimi tempi anche altri fornitori che si “adattano” alle patch del colosso di Redmond hanno rilasciato aggiornamenti di sicurezza per correggere diverse vulnerabilità, tra cui:
- Adobe
- AMD
- Apple
- Arm
- Bosch
- Broadcom (incluso VMware)
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Wear OS
- HMS Networks
- HP
- HP Enterprise (incluso anche Aruba Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- varie distribuzioni Linux come Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, e Ubuntu
- MediaTek
- Mitel
- MongoDB
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NVIDIA
- Progress Software
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SonicWall
- Splunk
- Spring Framework
- T-Head
- Trend Micro
- Zoom
- Zyxel
