Microsoft ha rilasciato gli aggiornamenti di sicurezza per il mese di aprile 2024 (che per convenzione chiameremo Patch di Aprile) per rimediare a un record di 149 falle nella sicurezza, due dei quali sono stati oggetto di attacchi che sono attivi su internet.
Tutte le correzioni della patch di Aprile da parte di Microsoft
Tramite questa patch di Aprile dei 149 difetti sulla sicurezza, tre sono classificati come critici, 142 come Importanti, tre come Moderati e uno come Basso in gravità; la patch di Aprile 2024 ha fatto un lavoro a parte, rispetto ai 21 difetti che l’azienda ha affrontato nel suo browser Edge basato su Chromium dopo il rilascio delle correzioni di Patch Tuesday di marzo 2024.
Le due carenze, scovate tramite la patch di Aprile, soggetti di attacchi attivi sono le seguenti:
- CVE-2024-26234 (punteggio CVSS: 6.7) – Vulnerabilità di spoofing del driver proxy
- CVE-2024-29988 (punteggio CVSS: 8.8) – Vulnerabilità di bypass della funzione di sicurezza del prompt SmartScreen
Mentre l’avviso di Microsoft stesso non fornisce informazioni su CVE-2024-26234, la società di sicurezza informatica Sophos ha detto di aver scoperto nel dicembre 2023 un eseguibile malevolo (“Catalog.exe” o “Servizio client di autenticazione del catalogo”) firmato da un valido certificato Microsoft Windows Hardware Compatibility Publisher (WHCP).
L’analisi di Authenticode del binario ha rivelato che il publisher originale richiedente è Hainan YouHu Technology Co. Ltd, che è anche il publisher di un altro strumento chiamato LaiXi Android Screen Mirroring.
Quest’ultimo problema scovato tramite la patch di Aprile viene descritto come “un software di marketing … [che] può connettere centinaia di telefoni cellulari e controllarli con un file batch, automatizzare compiti come il seguente in batch, il like e il commento“.
Sempre tramite le correzioni di questa patch di Aprile, all’interno del presunto servizio di autenticazione è presente un componente chiamato 3proxy progettato per monitorare e intercettare il traffico di rete su un sistema infetto, agendo efficacemente come backdoor.
“Non abbiamo prove che suggeriscano che gli sviluppatori di LaiXi abbiano deliberatamente incorporato il file malevolo nel loro prodotto, o che un criminale informatico abbia condotto un attacco alla catena di approvvigionamento per inserirlo nel processo di compilazione del’applicazione LaiXi“, ha detto il ricercatore di Sophos Andreas Klopsch.
La società di sicurezza informatica ha anche detto di aver scoperto molteplici altre varianti della backdoor nel mondo reale risalenti almeno al 5 gennaio 2023, indicando che la campagna è stata in corso almeno da allora. Microsoft ha successivamente aggiunto i file rilevanti alla sua lista di revoca.
L’altra falla di sicurezza corretta dalla patch di Aprile, che secondo quanto riferito è stata oggetto di attacchi attivi è CVE-2024-29988, che, come CVE-2024-21412 e CVE-2023-36025, consentiva agli attaccanti di aggirare le protezioni Microsoft Defender Smartscreen quando si apre un file appositamente progettato.
“Per sfruttare questa vulnerabilità di bypass della funzione di sicurezza, un attaccante dovrebbe convincere un utente a lanciare file malevoli utilizzando un’applicazione di lancio che richiede che non venga mostrata alcuna interfaccia utente“, ha detto Microsoft, che ha poi aggiunto: “In uno scenario di attacco tramite email o messaggio istantaneo, l’attaccante potrebbe inviare all’utente mirato un file appositamente progettato per sfruttare la vulnerabilità di esecuzione remota di codice“.
La Zero Day Initiative ha rivelato che ci sono prove dell’exploit della falla sia effettivamente avvenuta, anche se Microsoft l’ha contrassegnata con una valutazione di “Più probabile sfruttamento”.
Un’altra vulnerabilità, che è uscita con questa patch di Aprile, di rilievo è CVE-2024-29990 (punteggio CVSS: 9.0), una falla di elevazione dei privilegi che colpisce Microsoft Azure Kubernetes Service Confidential Container che potrebbe essere sfruttata da attaccanti non autenticati per rubare credenziali.
Ma questa patch di Aprile riserva anche altre sorprese, tanto che Redmond ha detto: “Un attaccante può accedere al nodo Kubernetes AKS non attendibile e al Contenitore Confidenziale AKS per assumere ospiti e contenitori confidenziali al di là dello stack di rete a cui potrebbe essere vincolato“
Nel complesso, il rilascio è degno di nota per l’affrontare fino a 68 bug di esecuzione remota del codice, 31 bug di aggiunta dei privilegi, 26 bug di bypass delle funzioni di sicurezza e sei bug di denial-of-service (DoS); è interessante notare , riguardo a questa patch di Aprile, che 24 dei 26 bug di bypass della sicurezza sono correlati a Secure Boot.
“Sebbene nessuna di queste vulnerabilità di Secure Boot affrontate questo mese sia stata sfruttata nel mondo reale, esse fungono da promemoria che le falle in Secure Boot persistono, e potremmo vedere più attività maligne correlate a Secure Boot in futuro“, ha detto Satnam Narang, senior staff research engineer presso Tenable, in una dichiarazione.
La divulgazione arriva mentre Microsoft è stata criticata per le sue pratiche di sicurezza, con un recente rapporto dal Cyber Safety Review Board (CSRB) degli Stati Uniti che ha chiamato l’azienda per non aver fatto abbastanza per prevenire una campagna di spionaggio informatico orchestrata da un criminale informatico cinese tracciato come Storm-0558 l’anno scorso.
Segue anche la decisione dell’azienda di pubblicare dati sulla causa radice delle vulnerabilità di sicurezza utilizzando lo standard industriale Common Weakness Enumeration (CWE); tuttavia, vale la pena notare che i cambiamenti sono in vigore solo a partire dagli avvisi pubblicati da marzo 2024.
“L’aggiunta delle valutazioni CWE agli avvisi di sicurezza di Microsoft aiuta a individuare la causa radice generica di una vulnerabilità“, ha detto Adam Barnett, lead software engineer presso Rapid7, in una dichiarazione che riguarda la patch di Aprile, nella quale ha poi aggiunto: “Il programma CWE ha recentemente aggiornato le sue linee guida sulla mappatura dei CVE a una causa radice CWE. L’analisi delle tendenze CWE può aiutare gli sviluppatori a ridurre le future occorrenze attraverso flussi di lavoro e test migliorati del ciclo di vita dello sviluppo del software, nonché aiutando i difensori a capire dove dirigere la difesa in profondità e gli sforzi di indurimento della distribuzione per il miglior ritorno sull’investimento“.
In uno sviluppo correlato, la società di sicurezza informatica Varonis ha dettagliato due metodi che gli attaccanti potrebbero adottare per eludere i log di controllo e evitare di attivare eventi di download durante l’esfiltrazione di file da SharePoint.
Il primo approccio sfrutta la funzionalità “Apri nell’app” di SharePoint per accedere e scaricare file, mentre il secondo utilizza l’User-Agent per Microsoft SkyDriveSync per scaricare file o addirittura interi siti mentre miscategorizza tali eventi come sincronizzazioni di file invece di download.
Microsoft, riguardo a questa patch di Aprile, dato che è stata informata dei problemi nel novembre 2023, deve ancora rilasciare una correzione, anche se sono stati aggiunti al loro programma di backlog di patch; nel frattempo, si consiglia alle organizzazioni di monitorare attentamente i loro log di controllo per eventi di accesso sospetti, in particolare quelli che coinvolgono grandi volumi di download di file entro breve tempo.
“Queste tecniche possono eludere i criteri di rilevamento e di applicazione delle tradizionali soluzioni, come i broker di sicurezza degli accessi cloud, la prevenzione della perdita dei dati e i SIEM, nascondendo i download come accessi meno sospetti e eventi di sincronizzazione“, ha detto Eric Saraga.
Non solo Microsoft, anche gli altri si adeguano alla patch di Aprile
Oltre a Microsoft, sono stati rilasciati anche aggiornamenti di sicurezza da altri fornitori nelle ultime settimane per correggere diverse vulnerabilità, tra cui:
- Adobe
- AMD
- Android
- Aruba Networks
- Atos
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise
- HTTP/2
- IBM
- Jenkins
- Lenovo
- LG webOS
- varie distribuzioni di Linux come Debian, Oracle Linux, Red Hat, SUSE, ed Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Rust
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- Trend Micro
- VMware
- WordPress
- Zoom