Microsoft ha rilasciato patch per affrontare un totale di 143 falle di sicurezza come parte degli aggiornamenti mensili di sicurezza, due delle quali sono state sfruttate attivamente da potenziali criminali informatici.
Tutto sulle falle corrette da Microsoft nella patch di luglio
Cinque delle 143 falle sono classificate come critiche, 136 sono classificate come Importanti e quattro sono classificate come Moderate in gravità; le correzioni si aggiungono a 33 vulnerabilità che sono state affrontate nel browser Edge basato su Chromium nel corso dell’ultimo mese.
Le due vulnerabilità di sicurezza che sono state sfruttate sono le seguenti:
- CVE-2024-38080 (punteggio CVSS: 7.8) – Vulnerabilità di elevazione di privilegi di Windows Hyper-V
- CVE-2024-38112 (punteggio CVSS: 7.5) – Vulnerabilità di spoofing della piattaforma MSHTML di Windows
“Lo sfruttamento con successo di questa vulnerabilità richiede che un attaccante compia azioni aggiuntive prima dello sfruttamento per preparare l’ambiente di destinazione“, ha dichiarato Microsoft riguardo CVE-2024-38112. “Un attaccante dovrebbe inviare alla vittima un file dannoso che la vittima dovrebbe eseguire.”
Il ricercatore di sicurezza di Check Point Haifei Li, che è stato accreditato per aver scoperto e segnalato la falla nel maggio 2024, ha detto che i criminali informatici stanno utilizzando file di collegamento Internet di Windows appositamente creati (.URL) che, una volta cliccati, reindirizzano le vittime a un URL dannoso invocando il browser Internet Explorer (IE) ritirato.
Gli aggiornamenti non sono tutto: anche l’utente deve fare la sua parte secondo Microsoft
“Un trucco aggiuntivo su IE è usato per nascondere l’estensione .HTA dannosa“, ha spiegato Li. “Aprendo l’URL con IE anziché con i browser moderni e molto più sicuri Chrome/Edge su Windows, l’attaccante ha ottenuto vantaggi significativi nello sfruttamento del computer della vittima, anche se il computer esegue il moderno sistema operativo Windows 10/11.”
“CVE-2024-38080 è una falla di elevazione di privilegi in Windows Hyper-V,” ha detto Satnam Narang, ingegnere di ricerca senior di Tenable. “Un attaccante locale autenticato potrebbe sfruttare questa vulnerabilità per elevare i privilegi a livello di SISTEMA dopo un compromesso iniziale del sistema di destinazione.”
Sebbene i dettagli esatti riguardanti l’abuso di CVE-2024-38080 siano attualmente sconosciuti, Narang ha osservato che questa è la prima delle 44 falle di Hyper-V ad essere sfruttata in natura dal 2022.
Il rischio di esecuzione di codice da remoto tramite un inganno
Altre due falle di sicurezza risolte da Microsoft sono state elencate come pubblicamente note al momento del rilascio; queste includono un attacco side-channel chiamato FetchBench (CVE-2024-37985, punteggio CVSS: 5.9) che potrebbe consentire a un attaccante di visualizzare la memoria heap da un processo privilegiato in esecuzione su sistemi basati su Arm.
La seconda vulnerabilità pubblicamente divulgata in questione è CVE-2024-35264 (punteggio CVSS: 8.1), un bug di esecuzione di codice remoto che interessa .NET e Visual Studio.
“Un attaccante potrebbe sfruttare questa vulnerabilità chiudendo un flusso http/3 mentre il corpo della richiesta è in fase di elaborazione, portando a una condizione di race“, ha detto Microsoft in un avviso. “Questo potrebbe risultare in un’esecuzione di codice [malevolo] remoto.”
Nemmeno i server erano al sicuro
Sono state inoltre risolte, come parte degli aggiornamenti del Patch Tuesday, 37 falle di esecuzione di codice remoto che interessano il provider OLE DB del client SQL Server Native, 20 vulnerabilità di bypass delle funzionalità di sicurezza del Secure Boot, tre bug di escalation di privilegi di PowerShell e una vulnerabilità di spoofing nel protocollo RADIUS (CVE-2024-3596 noto anche come BlastRADIUS).
“[Le falle di SQL Server] interessano specificamente il provider OLE DB, quindi non solo le istanze di SQL Server devono essere aggiornate, ma anche il codice client che esegue versioni vulnerabili del driver di connessione dovrà essere affrontato“, ha detto Greg Wiseman, Lead Product Manager di Rapid7 che ha successivamente rimarcato: “Ad esempio, un attaccante potrebbe utilizzare tattiche di ingegneria sociale per indurre un utente autenticato a tentare di connettersi a un database SQL Server configurato per restituire dati dannosi, consentendo l’esecuzione arbitraria di codice sul client.”
A completare la lunga lista di patch c’è CVE-2024-38021 (punteggio CVSS: 8.8), una falla di esecuzione di codice remoto in Microsoft Office che, se sfruttata con successo, potrebbe consentire a un attaccante di ottenere alti privilegi da amministratore, inclusa la funzionalità di lettura, scrittura e cancellazione.
Era possibile attaccare anche senza interazione dell’utente? Secondo Microsoft sembra di sì
Morphisec, che ha segnalato la falla a Microsoft alla fine di aprile 2024, ha detto che la vulnerabilità non richiede alcuna autenticazione e rappresenta un grave rischio a causa della sua natura senza clic.
“Gli attaccanti potrebbero sfruttare questa vulnerabilità per ottenere accesso non autorizzato, eseguire codice arbitrario e causare danni sostanziali senza alcuna interazione dell’utente“, ha detto Michael Gorelik. “L’assenza di requisiti di autenticazione la rende particolarmente pericolosa, poiché apre la porta a un’ampia sfruttamento.”
Le correzioni arrivano mentre Microsoft ha annunciato alla fine del mese scorso che inizierà a rilasciare identificatori CVE per le vulnerabilità di sicurezza relative al cloud in avanti nel tentativo di migliorare la trasparenza.
Microsoft non è sola, altri fornitori le corrono dietro
Oltre a Microsoft, aggiornamenti di sicurezza sono stati rilasciati anche da altri fornitori nelle ultime settimane per rettificare diverse vulnerabilità, tra i quali:
- Adobe
- Amazon Web Services
- AMD
- Apple
- Arm
- Broadcom (incluso pure VMware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- Emerson
- F5
- Fortinet
- Fortra FileCatalyst Workflow
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Google Pixel
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise
- IBM
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- varie distribuzioni di Linux tra cui Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, ZorinOS, ed Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox and Firefox ESR
- NETGEAR
- NVIDIA
- OpenSSH
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Spring Framework
- TP-Link
- Veritas
- WordPress
- Zoom
