Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond. 

I problemi risolti hanno una origine prevalente dalle vulnerabilità di natura Remote Code Execution (RCE), per il 48% circa del totale, seguite da vulnerabilità incentrare sull’elevazione del privilegio, per il 29% del totale, ed una coda di vulnerabilità di tipo DoS (Denial of Service), Information Disclosure e Bypass di meccanismi di sicurezza (giusto in un caso singolo). 

Volendo scendere nel dettaglio delle vulnerabilità più critiche, una delle più gravi è la CVE-2022-34718, una Remote Code Execution, che affligge lo stack TCP/IP di Windows. Si tratta di una vulnerabilità con CVSS elevato (9.8) con probabilità di alta incidenza. Questa, come le successive che diremo, si presenta quando il sistema Windows utilizzi il protocollo per VPN Internet Protocol Security (altrimenti noto come IPSec): la vulnerabilità infatti consente ad un attaccante privo di autenticazione si eseguire codice da remoto tramite comunicazione mediante questo protocollo. 

Un’altra possibilità di esecuzione remota di codice deriva dalla coppia di vulnerabilità CVE-2022-34721 e CVE-2022-34722 (entrambe con CVSS 9.8) presenti nell’implementazione Windows dell’estensione al protocollo IPSec, lo IKE (Internet Key Exchange), componente che consente le relazioni tra i dispositivi in base chiave di sicurezza condivisa. Anche in questo caso un attaccante privo di autenticazione, mediante pacchetti IP appositamente costruiti può eseguire codice remotamente. Queste vulnerabilità hanno in comune il medesimo obiettivo della CVE.2022-34720, una vulnerabilità importante (CVSS 7.5) capace di Denial of Service su protocollo IPSec e che agisce anche questa sulla componente IKE. 

Sempre rispetto alla strategia di attacco Remote Code Execution. Microsoft ha corretto il difetto da cui la CVE-2022-35830, una vulnerabilità importante (CVSS 8.1) che però è ritenuta poco probabile, forse per il requisito al suo sfruttamento, ovvero la necessità che un utente malintenzionato investa tempo in ripetuti tentativi di sfruttamento tramite l'invio di dati costanti o intermittenti. 

Una ultima categoria di vulnerabilità sanate riguarda l’elevazione di privilegi, prevalentemente afferenti a due componenti del sistema: il Windows Common Log File System Drive (la CVE-2022-37696) e il Windows Kernel (le CVE-2022-37956, CVE-2022-37957 e CVE-2022-37964). 

Nel primo caso, la CVE-2022-37696 (simile alla CVE-2022-24521 già sanata ad aprile) è una vulnerabilità importate (CVSS 7.8) vista sfruttata in natura e divulgata precedentemente alla realizzazione della patch, cosa che la rende molto insidiosa indipendentemente dalla valutazione tecnica. In realtà è una vulnerabilità operativa in fase di post exploitation, ossia dopo che in attaccante abbia già ottenuto l’accesso all’obiettivo, che però fornisce il privilegio SYSTEM, cosa molto aggressiva. Tutto questo però presuppone una strategia di attacco complessa eventualmente supportata da social engineering e costruzione di un payload per l’esecuzione locale dello sfruttamento. Ma è evidente che qualcuno abbia armato tutto ciò efficacemente contro i suoi obiettivi. 

L’ultimo caso di vulnerabilità di privilege elevation risolta da Microsoft riguarda il kernel, con un trittico di vulnerabilità (CVE-2022-37956, CVE-2022-37957 e CVE-2022-37964) importanti (CVSS 7.8) che consentono, anche queste, di ottenere privilegio SYSTEM nel momento in cui vengano sfruttate. Di queste, solo la CVE-2022-37957 merita un incremento dell’allarme da parte di Microsoft a “sfruttamento più probabile”, ma non è chiaro il motivo di tale innalzamento da parte del vendor, stando ai parametri CVSS indicati per le tre, sostanzialmente identici. Che conoscano qualcosa che non possono rivelare? 

Tutto è possibile.

Tweet