Microsoft ha risolto un totale di 48 difetti di sicurezza che interessano il suo software come parte degli aggiornamenti Patch Tuesday di gennaio 2024.
Dei 48 bug, due sono classificati come Critici e 46 come Importanti per gravità; fortunatamente non ci sono prove che nessuno dei problemi sia noto pubblicamente o sotto attacco attivo al momento del rilascio, rendendolo il secondo Patch Tuesday consecutivo senza zero-day.
In cosa consistono queste due vulnerabilità critiche corrette da Microsoft
Le correzioni si aggiungono a nove vulnerabilità di sicurezza risolte nel browser Edge basato su Chromium dal rilascio degli aggiornamenti Patch Tuesday di dicembre 2023; questo include anche una correzione per uno zero-day (CVE-2023-7024, punteggio CVSS: 8.8) che Google ha dichiarato essere stato attivamente sfruttato nel mondo reale.
I difetti più critici risolti questo mese sono i seguenti:
- CVE-2024-20674 (punteggio CVSS: 9.0) – Vulnerabilità di bypass della sicurezza di Kerberos di Windows
- CVE-2024-20700 (punteggio CVSS: 7.5) – Vulnerabilità di esecuzione remota del codice di Windows Hyper-V
“La funzione di autenticazione potrebbe essere aggirata poiché questa vulnerabilità consente lo sfruttamento [della falla]” ha dichiarato Microsoft in un avviso per CVE-2024-20674. “Un attaccante autenticato potrebbe sfruttare questa vulnerabilità stabilendo un attacco machine-in-the-middle (MitM) o un’altra tecnica di spoofing di rete locale, quindi inviare un messaggio Kerberos malevolo alla macchina vittima client per fingere di essere il server di autenticazione Kerberos.”
Tuttavia, l’azienda ha notato che l’exploit riuscito richiede che un attaccante ottenga prima l’accesso alla rete limitata; il ricercatore di sicurezza informatica ldwilmore34 è stato accreditato per la scoperta e la segnalazione della falla.
D’altra parte, CVE-2024-20700 non richiede né l’autenticazione né l’interazione dell’utente per ottenere l’esecuzione remota del codice, anche se vincere una condizione di gara è un prerequisito per orchestrare un attacco.
“Non è chiaro esattamente dove l’attaccante deve trovarsi – nella LAN in cui risiede l’Hyper-V, o in una rete virtuale creata e gestita dall’ipervisore – o in quale contesto si verrebbe a verificare l’esecuzione remota del codice” ha detto Adam Barnett, ingegnere software principale presso Rapid7.
Altri difetti degni di nota includono CVE-2024-20653 (punteggio CVSS: 7.8), una falla di elevazione dei privilegi che influisce sul driver del sistema di file di registro comune (CLFS), e CVE-2024-0056 (punteggio CVSS: 8.7), un bypass di sicurezza che interessa System.Data.SqlClient e Microsoft.Data.SqlClient.
“Un attaccante che sfrutta con successo questa vulnerabilità potrebbe effettuare un attacco machine-in-the-middle (MitM) e potrebbe decifrare e leggere o modificare il traffico TLS tra il client e il server” ha dichiarato Redmond riguardo a CVE-2024-0056.
Microsoft ha inoltre reso noto che disabilita la possibilità di inserire file FBX in Word, Excel, PowerPoint e Outlook in Windows per impostazione predefinita a causa di una falla di sicurezza (CVE-2024-20677, punteggio CVSS: 7.8) che potrebbe portare all’esecuzione remota del codice malevolo.
“Modelli 3D nei documenti di Office precedentemente inseriti da un file FBX continueranno a funzionare come previsto a meno che l’opzione ‘Link al file’ non sia stata scelta al momento dell’inserimento” ha dichiarato Microsoft in un avviso separato. “GLB (Binary GL Transmission Format) è il formato di file 3D consigliato per l’uso in Office.”
È importante notare che Microsoft ha intrapreso una simile azione di disabilitazione del formato di file SketchUp (SKP) in Office l’anno scorso a seguito della scoperta da parte di Zscaler di 117 difetti di sicurezza nelle applicazioni Microsoft 365.
Patch di software provenienti da altri fornitori
Oltre a Microsoft, sono stati rilasciati aggiornamenti di sicurezza da altri fornitori nelle ultime settimane per correggere diverse vulnerabilità, tra i quali:
- Adobe
- AMD
- Android
- Arm
- ASUS
- Bosch
- Cisco
- Dell
- F5
- Fortinet
- Google Chrome
- Google Cloud
- HP
- IBM
- Intel
- Lenovo
- Varie distribuzioni di Linux tra le quali Debian (nonché relative derivate), Oracle Linux, Red Hat, SUSE, ed Ubuntu (nonché relative derivate)
- MediaTek
- NETGEAR
- Qualcomm
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- Zimbra
- Zoom
