Poteva mancare il consueto appuntamento mensile con la patch di Micorosoft (normalmente detta “Patch Tuesday”, cioè “patch del martedì”), dove la casa di Redmond sistema le falle dei suoi prodotti?
Microsoft ha rilasciato patch di sicurezza per correggere un totale di ben 118 vulnerabilità nel suo variegato comparto di software, due delle quali sono attivamente sfruttate in ambienti reali.
Patch di Microsoft ottobre 2024, cosa è stato corretto
Delle 118 falle, tre sono classificate come critiche, 113 come importanti e due come moderate in termini di gravità e l’aggiornamento del Patch Tuesday non include le 25 ulteriori falle che il colosso tecnologico ha risolto nel suo browser Edge basato su Chromium nel corso dell’ultimo mese.
Cinque delle vulnerabilità erano pubblicamente note al momento del rilascio, e due di queste sono state sfruttate attivamente come zero-day:
- CVE-2024-43572 (punteggio CVSS: 7,8) – Vulnerabilità di esecuzione di codice remoto in Microsoft Management Console (sfruttamento rilevato)
- CVE-2024-43573 (punteggio CVSS: 6,5) – Vulnerabilità di spoofing nella piattaforma Windows MSHTML (sfruttamento rilevato)
- CVE-2024-43583 (punteggio CVSS: 7,8) – Vulnerabilità di elevazione dei privilegi in Winlogon
- CVE-2024-20659 (punteggio CVSS: 7,1) – Vulnerabilità di bypass delle funzionalità di sicurezza di Windows Hyper-V
- CVE-2024-6197 (punteggio CVSS: 8,8) – Vulnerabilità di esecuzione di codice remoto in Curl open source (CVE non-Microsoft)
C’è da dire che la CVE-2024-43573 è simile a CVE-2024-38112 e CVE-2024-43461, altre due vulnerabilità di spoofing di MSHTML sfruttate prima di luglio 2024 dal gruppo di minacce Void Banshee per diffondere il malware Atlantida Stealer.
La patch risolve vulnerabilità anche su altri dispositivi
Microsoft non ha fornito dettagli su come le due vulnerabilità vengono sfruttate nel mondo reale, né su chi siano gli autori degli attacchi o quanto siano diffuse; l’azienda di Redmond ha pertanto attribuito il merito della scoperta della CVE-2024-43572 ai ricercatori Andres e Shady, ma non ha riconosciuto alcun contributo per la CVE-2024-43573, e ciò potrebbe indicare un possibile caso di bypass della patch.
“Da quando è stata scoperta la CVE-2024-43572, Microsoft ora impedisce l’apertura di file MSC non attendibili su un sistema“, ha dichiarato Satnam Narang, ingegnere senior di ricerca presso Tenable, in una sua dichiarazione.
Lo sfruttamento attivo delle vulnerabilità CVE-2024-43572 e CVE-2024-43573 è stato segnalato anche dall’Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti (CISA), che le ha aggiunte al suo catalogo delle vulnerabilità conosciute e sfruttate (KEV), richiedendo alle agenzie federali di applicare le correzioni entro il 29 ottobre 2024.
Tra tutte le falle divulgate da Microsoft martedì, la più grave riguarda una vulnerabilità di esecuzione di codice remoto in Microsoft Configuration Manager (CVE-2024-43468, punteggio CVSS: 9,8), che potrebbe consentire a malintenzionati non autenticati di eseguire comandi arbitrari.
“Un attaccante non autenticato potrebbe sfruttare questa vulnerabilità inviando richieste appositamente create all’ambiente target, che vengono elaborate in modo non sicuro, permettendo all’attaccante di eseguire comandi sul server e/o sul database sottostante“, ha spiegato Microsoft.
Altre due vulnerabilità classificate come critiche riguardano l’esecuzione di codice remoto nell’estensione di Visual Studio Code per Arduino (CVE-2024-43488, punteggio CVSS: 8,8) e nel Server Remote Desktop Protocol (RDP) (CVE-2024-43582, punteggio CVSS: 8,1).
“Sfruttare questa vulnerabilità richiede che l’attaccante invii pacchetti deliberatamente malformati a un host Windows RPC, portando all’esecuzione di codice nel contesto del servizio RPC, anche se cosa significhi in pratica dipende da fattori come la configurazione delle restrizioni dell’interfaccia RPC sul sistema target“, ha dichiarato Adam Barnett, ingegnere capo presso Rapid7, riguardo alla CVE-2024-43582.
Barnett ha aggiunto: “L’unica nota positiva è che la complessità dell’attacco è elevata, poiché l’attaccante deve superare una condizione di corsa per accedere in modo improprio alla memoria.“
Patch di sicurezza da altri fornitori
Oltre a Microsoft, altri fornitori hanno rilasciato aggiornamenti di sicurezza nelle ultime settimane per correggere diverse vulnerabilità, tra cui:
- Adobe
- Amazon Web Services
- Apache Avro
- Apple
- AutomationDirect
- Bosch
- Broadcom (incluso VMware)
- Cisco (anche Splunk)
- Citrix
- CODESYS
- Dell
- Draytek
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- HP Enterprise (incluso Aruba Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- varie distribuzioni di Linux come Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, e Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Mozilla Firefox, Firefox ESR, e Thunderbird
- NVIDIA
- Okta
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce Tableau
- Samsung
- SAP
- Schneider Electric
- Siemens
- Sophos
- Synology
- Trend Micro
- Veritas
- Zoom
- Zyxel
E tu cosa pensi del lavoro che fa mensilmente Microsoft per la distribuzione delle sue patch? Scrivilo sui commenti.