Microsoft ha rilasciato gli aggiornamenti Patch Tuesday per maggio 2023 per risolvere 38 vulnerabilità di sicurezza, tra cui un bug zero-day che secondo la società è attivamente sfruttato.
Zero Day Initiative (ZDI) di Trend Micro ha affermato che il numero di vulnerabilità è il più basso dal mese di agosto 2021, anche se ha fatto notare che “si prevede che questo numero aumenterà nei prossimi mesi“, da ricordare il significativo aggiornamento avvenuto ancora a gennaio di quest’anno.
Cos’ha corretto Microsoft col Patch Tuesday?
Delle 38 vulnerabilità, sei sono classificate come critiche e 32 come importanti in termini di gravità. Otto delle vulnerabilità sono state contrassegnate da Microsoft con la valutazione “Più probabile l’exploitation”.
Questo si aggiunge alle 18 vulnerabilità, tra cui 11 bug risolti dal produttore di Windows nel suo browser Edge basato su Chromium a seguito degli aggiornamenti di aprile Patch Tuesday.
In cima alla lista c’è la CVE-2023-29336 (punteggio CVSS: 7,8), una vulnerabilità di escalation dei privilegi in Win32k che è oggetto di sfruttamento attivo. Non è immediatamente chiaro quanto siano diffusi gli attacchi.
“Un malintenzionato che sfrutta con successo questa vulnerabilità potrebbe ottenere i privilegi di SYSTEM“, ha affermato Microsoft, accreditando i ricercatori di Avast Jan Vojtěšek, Milánek e Luigino Camastra per la segnalazione della vulnerabilità.
Questo ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ad aggiungere la vulnerabilità al suo catalogo di vulnerabilità sfruttate note (KEV), invitando le organizzazioni ad applicare le correzioni del produttore entro il 30 maggio 2023.
Degne di nota sono anche due vulnerabilità note pubblicamente, di cui una è una vulnerabilità critica di esecuzione remota di codice che influisce su Windows OLE (CVE-2023-29325, punteggio CVSS: 8,1) che potrebbe essere sfruttata da un attore inviando un’email appositamente creata alla vittima.
Microsoft, come misure di sicurezza, sta raccomandando agli utenti di leggere i messaggi di posta elettronica in formato testo semplice per proteggersi da questa vulnerabilità.
Un’altra vulnerabilità nota pubblicamente è CVE-2023-24932 (punteggio CVSS: 6.7), un bypass della funzione di sicurezza Secure Boot che viene sfruttato dal bootkit UEFI di BlackLotus per sfruttare CVE-2022-21894 (noto anche come Baton Drop), risolto a gennaio 2022.
“Questa vulnerabilità consente a un attaccante di eseguire codice autenticato dall’utente a livello di interfaccia firmware estensibile unificata (UEFI) mentre Secure Boot è abilitato“, ha detto Microsoft in una guida separata.
Aggiungendo: “Viene utilizzata dai criminali informatici principalmente come meccanismo di persistenza ed elusione della difesa. L’esito positivo dell’attacco dipende dal fatto che l’attaccante abbia accesso fisico o privilegi di amministratore locale sul dispositivo preso di mira.”
È importante notare che la correzione fornita da Microsoft è disattivata per impostazione predefinita e richiede ai clienti di applicare manualmente le revoca, ma solo dopo aver aggiornato tutti i supporti avviabili.
“Una volta abilitata la mitigazione per questo problema su un dispositivo, il che significa che le revoca sono state applicate, non è possibile tornare indietro se si continua a utilizzare Secure Boot su quel dispositivo“, ha avvertito Microsoft. “Anche la riformattazione del disco non rimuoverà le revoca se sono già state applicate“.
Il colosso tecnologico ha detto che sta adottando un approccio graduale per chiudere completamente il vettore di attacco per evitare rischi di interruzione involontaria, un esercizio che si prevede si estenderà fino al primo trimestre del 2024.
“Le moderne procedure Secure Boot basate su UEFI sono estremamente complesse da configurare correttamente o per ridurre significativamente le loro superfici di attacco“, ha detto la società di sicurezza firmware Binarly lo scorso marzo. “Detto questo, gli attacchi al bootloader non sono destinati a scomparire presto“.
Non solo Microsoft
Oltre alla storica azienda informatica, anche altre si sono adattate al cambiamento, ecco quali:
- Adobe
- AMD
- Android
- Apache Projects
- Apple
- Aruba Networks
- Cisco
- Citrix
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Hitachi Energy
- HP
- IBM
- Intel
- Juniper Networks
- Lenovo
- Distribuzioni di Linux varia tra le quali Debian, Oracle Linux, Red Hat, SUSE, e Ubuntu
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- Palo Alto Networks
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- Synology
- Veritas
- VMware
- Zoho
- Zyxel
