Microsoft ha rivelato martedì che tre nuove falle di sicurezza che interessano la piattaforma Windows sono state attivamente sfruttate come parte dell’aggiornamento “Patch Tuesday” di settembre 2024.
Il rilascio mensile di sicurezza affronta un totale di 79 vulnerabilità, di cui sette sono classificate come Critiche, 71 come Importanti e una come Moderata in termini di gravità; a ciò si aggiungono 26 vulnerabilità che il colosso tecnologico ha risolto nel suo browser Edge basato su Chromium dall’ultimo aggiornamento “Patch Tuesday” del mese scorso.
Novità e correzioni dell’aggiornamento Patch Tuesday di settembre 2024
Le tre vulnerabilità corrette con la patch che sono state sfruttate in un contesto malevolo sono elencate di seguito, insieme a un bug che Microsoft sta trattando come sfruttato:
- CVE-2024-38014 (punteggio CVSS: 7.8) – Vulnerabilità di Elevazione dei Privilegi del Programma di Installazione di Windows
- CVE-2024-38217 (punteggio CVSS: 5.4) – Vulnerabilità di Bypass della Funzionalità di Sicurezza Windows Mark-of-the-Web (MotW)
- CVE-2024-38226 (punteggio CVSS: 7.3) – Vulnerabilità di Bypass della Funzionalità di Sicurezza di Microsoft Publisher
- CVE-2024-43491 (punteggio CVSS: 9.8) – Vulnerabilità di Esecuzione di Codice da Remoto nell’Aggiornamento di Microsoft Windows
“Lo sfruttamento sia di CVE-2024-38226 che di CVE-2024-38217 può portare al bypass di importanti funzionalità di sicurezza che bloccano l’esecuzione dei macro di Microsoft Office“, ha dichiarato in un comunicato Satnam Narang, ingegnere senior di ricerca presso Tenable e ha aggiunto che “In entrambi i casi, il bersaglio deve essere convinto ad aprire un file appositamente creato proveniente da un server controllato dall’attaccante. La differenza è che, per sfruttare CVE-2024-38226, un attaccante deve essere autenticato sul sistema e avere accesso locale ad esso.“
Come rivelato da Elastic Security Labs il mese scorso, CVE-2024-38217 (anche conosciuto come “LNK Stomping“) sarebbe stato sfruttato già a partire da febbraio 2018.
CVE-2024-43491, d’altra parte, è notevole per il fatto che è simile all’attacco di downgrade analizzato dalla società di sicurezza informatica SafeBreach all’inizio del mese scorso.
Altre vulnerabilità corrette dalla patch
“Microsoft è a conoscenza di una vulnerabilità nello Stack di Servizio che ha annullato le correzioni per alcune vulnerabilità che interessano i Componenti Opzionali su Windows 10, versione 1507 (versione iniziale rilasciata a luglio 2015)“, ha osservato Redmond.
“Ciò significa che un attaccante potrebbe sfruttare queste vulnerabilità precedentemente mitigate su sistemi Windows 10, versione 1507 (Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB) che hanno installato l’aggiornamento di sicurezza di Windows rilasciato il 12 marzo 2024 — KB5035858 (OS Build 10240.20526) o altri aggiornamenti rilasciati fino ad agosto 2024.”
Il produttore di Windows ha inoltre dichiarato che la problematica può essere risolta installando l’aggiornamento dello Stack di Servizio di settembre 2024 (SSU KB5043936) e l’aggiornamento di sicurezza di Windows di settembre 2024 (KB5043083), in questo ordine.
Vale anche la pena notare che la valutazione di “Exploitation Detected” di Microsoft per CVE-2024-43491 deriva dal rollback delle correzioni che avevano affrontato vulnerabilità che colpivano alcuni Componenti Opzionali per Windows 10 (versione 1507) che erano stati precedentemente sfruttati.
“Non è stato rilevato alcuno sfruttamento diretto di CVE-2024-43491“, ha affermato la società. “Inoltre, il team di prodotto Windows di Microsoft ha scoperto questo problema, e non abbiamo visto alcuna prova che sia conosciuto pubblicamente.“
Patch software da altri fornitori
Oltre a Microsoft, negli ultimi mesi anche altri fornitori hanno rilasciato aggiornamenti di sicurezza per correggere diverse vulnerabilità tramite per l’appunto varie patch, tra cui:
- Adobe
- Arm
- Bosch
- Broadcom (incluso VmWware)
- Cisco
- Citrix
- CODESYS
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Hitachi Energy
- HP
- HP Enterprise (anche Aruba Networks)
- IBM
- Intel
- Ivanti
- Lenovo
- varie distribuzioni di Linux Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE e Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR, Focus and Thunderbird
- NVIDIA
- ownCloud
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Spring Framework
- Synology
- Veeam
- Zimbra
- ServiceDesk Plus, SupportCenter Plus e ServiceDesk Plus MSP
- Zoom
- Zyxel