Le prime correzioni del Patch Tuesday fornite da Microsoft per il 2023 hanno risolto un totale di 98 falle di sicurezza, incluso un bug che secondo Microsoft viene attivamente sfruttato da gente poco raccomandabile; aggiornamenti così grossi su sistemi Windows ci sono stati novembre scorso.
11 dei 98 problemi sono classificati come Critici, mentre 87 sono classificati come “importanti” in termini di gravità, con una delle vulnerabilità elencate già nota pubblicamente ben prima del rilascio della patch.
Separatamente, il produttore di Windows dovrebbe rilasciare aggiornamenti per il suo browser Edge basato su Chromium.
Quali problemi risolve il Patch Tuesday di Microsoft?
La vulnerabilità che è “sotto attacco” si riferisce a CVE-2023-21674 (punteggio CVSS: 8.8), un difetto dei privilegi in Windows Advanced Local Procedure Call (ALPC) che potrebbe essere sfruttato da un utente malintenzionato per ottenere autorizzazioni SYSTEM.
“Questa vulnerabilità potrebbe portare a una fuga [di dati] dalla sandbox del browser“, ha dichiarato Microsoft in una sua documentazione, accreditando ricercatori Avast tra i quali Jan Vojtěšek, Milánek e Przemek Gmerek per aver segnalato il bug.
Mentre i dettagli della vulnerabilità non sono ancora stati rivelati da Microsoft, un exploit per riuscire richiede che un malintenzionato abbia già ottenuto l’accesso iniziale sull’host; è anche probabile che il difetto sia combinato con un bug presente nel browser Web per uscire dalla sandbox e ottenere privilegi più elevati.
“Una volta stabilito il punto d’appoggio iniziale, gli aggressori [gli hacker, quindi] cercheranno di spostarsi attraverso una rete o ottenere ulteriori livelli di accesso più elevati e questi tipi di vulnerabilità di intensificazione dei privilegi sono una parte fondamentale di quel playbook del [utente] malintenzionato“, ha detto Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs riguardo la Patch Tuesday.
Detto questo, le possibilità che una serie di exploit (quindi un attacco hacker di questo tipo) come questa venga utilizzata in modo diffuso sono limitate a causa della funzione di aggiornamento automatico utilizzata per correggere i browser, ha affermato Satnam Narang, ingegnere ricercatore senior presso Tenable.
Vale anche la pena dire che la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la vulnerabilità al suo “catalogo di vulnerabilità sfruttate note” (KEV), sollecitando le agenzie federali ad applicare le patch entro il 31 gennaio 2023.
Inoltre, CVE-2023-21674 è il quarto difetto di questo tipo identificato in ALPC, una funzione di comunicazione tra processi (IPC) fornita dal kernel di Microsoft Windows, dopo CVE-2022-41045, CVE-2022-41093 e CVE-2022. -41100 (punteggi CVSS: 7,8), gli ultimi tre dei quali sono stati collegati nel novembre 2022, ben prima, quindi, di questa Patch Tuesday.
Altre due vulnerabilità riguardanti i privilegi “a livelli” (da utente locale ad amministratore per capirci) identificate come ad alta priorità interessano Microsoft Exchange Server (CVE-2023-21763 e CVE-2023-21764, punteggio CVSS: 7.8), che derivano da una patch incompleta per CVE-2022-41123, secondo Qualys.
“Un utente malintenzionato potrebbe eseguire codice con privilegi a livello di SYSTEM sfruttando un percorso di file hardcoded“, ha dichiarato in una nota Saeed Abbasi, responsabile della ricerca sulle vulnerabilità e sulle minacce di Qualys.
Microsoft, tramite la Patch Tuesday, ha risolto anche un bypass della funzionalità di sicurezza in SharePoint Server (CVE-2023-21743, punteggio CVSS: 5.3) che potrebbe consentire a un utente malintenzionato non autenticato di aggirare l’autenticazione e stabilire una connessione anonima.
Il colosso tecnologico di Redmond ha reso noto che “i clienti devono anche attivare un’azione di aggiornamento di SharePoint inclusa in questo aggiornamento per proteggere la loro farm di SharePoint“.
L’aggiornamento Patch Tuesday di gennaio corregge ulteriormente una serie di difetti riguardanti i privilegi di accesso al sistema, tra cui uno in Windows Credential Manager (CVE-2023-21726, punteggio CVSS: 7.8) e tre che interessano il componente Print Spooler (CVE-2023-21678, CVE-2023-21760, e CVE-2023-21765).
La National Security Agency (NSA) degli Stati Uniti è stata accreditata con la segnalazione CVE-2023-21678. In tutto, 39 delle vulnerabilità che Microsoft ha chiuso nel suo ultimo aggiornamento consentono l’elevazione dei privilegi.
A completare l’elenco c’è CVE-2023-21549 (punteggio CVSS: 8.8), una vulnerabilità di elevazione dei privilegi di sistema pubblicamente nota nel servizio Windows SMB Witness e un’altra istanza di bypass della funzionalità di sicurezza che ha un impatto su BitLocker (CVE-2023-21563, punteggio CVSS: 6.8).
“Un utente malintenzionato di successo potrebbe aggirare la funzione di crittografia del dispositivo BitLocker sul dispositivo di archiviazione del sistema“, ha affermato Microsoft a riguardo la Patch Tuesday di questi giorni, aggiungendo poi che “un utente malintenzionato con accesso fisico al bersaglio potrebbe sfruttare questa vulnerabilità per ottenere l’accesso a dati crittografati“.
Infine, Redmond ha rivisitato le sue linee guida relative all’uso dannoso di driver firmati (chiamati Bring Your Own Vulnerable Driver) per includere un elenco di blocchi aggiornato rilasciato come parte degli aggiornamenti di sicurezza di Windows il 10 gennaio 2023.
Martedì la CISA ha anche aggiunto tra i bug corretti dal Patch Tuesday CVE-2022-41080, un difetto che riguarda sempre i privilegi, ma di Exchange Server, al catalogo KEV in seguito a segnalazioni secondo cui la vulnerabilità si è “intrecciata” a CVE-2022-41082 per ottenere l’esecuzione di codice in modalità remota su sistemi vulnerabili.
L’exploit, nome in codice OWASSRF di CrowdStrike, è stato sfruttato dagli autori del ransomware Play per violare gli ambienti target; questi difetti, tuttavia, erano già stati corretti da Microsoft nel novembre 2022.
Gli aggiornamenti di Patch Tuesday arrivano anche quando Windows 7, Windows 8.1 e Windows RT hanno raggiunto la fine del loro supporto il 10 gennaio 2023; Microsoft ha affermato che non offrirà un programma di aggiornamento della sicurezza estesa (ESU) per Windows 8.1, esortando invece gli utenti a aggiornare a Windows 11.
“Continuare a utilizzare Windows 8.1 dopo il 10 gennaio 2023 potrebbe aumentare l’esposizione di un’organizzazione ai rischi per la sicurezza o influire sulla sua capacità di soddisfare gli obblighi di conformità“, ha avvisato a riguardo la società.
Anche altri software ne risentono dell’effetto Patch Tuesday
Oltre a Microsoft, dall’inizio del mese sono stati rilasciati aggiornamenti di sicurezza anche da altri fornitori per correggere diverse vulnerabilità, tra cui:
- Adobe
- AMD
- Android
- Cisco
- Citrix
- Dell
- F5
- Fortinet
- GitLab
- Google Chrome
- HP
- IBM
- Intel
- Juniper Networks
- Lenovo
- Distribuzioni Linux come Debian, Oracle Linux, Red Hat, SUSE, e Ubuntu
- MediaTek
- Qualcomm
- SAP
- Schneider Electric
- Siemens
- Synology
- Zoom
- Zyxel
