Microsoft ha rilasciato il Patch Tueday di ottobre e al solito ha risolto molti problemi, ma non tutti.
Tra le 84 correzioni a vulnerabilità è rumorosa l’assenza di correzioni alle vulnerabilità di cui abbiamo parlato nel precedente articolo, ossia lo zero-day denominato ProxyNotShell, per via della sua similitudine alla vulnerabilità ProxyShell del 2021.
Niente, dunque, a correzione dei CVE-2022-41040 e CVE-2022-41082.
L’attenzione e l’attesa era evidentemente su quanto precedentemente segnalato e visto in natura; pertanto, un po’ di delusione ci può stare, ma è evidente che lo sforzo di Microsoft non è stato mal posto, in quanto si è data da fare su differenti vulnerabilità classificate critiche, capaci di eseguire elevazione privilegi (EoP), esecuzione di codice da remoto (RCE), ma anche vulnerabilità più moderate capaci di falsificazioni (Spoofing), come la CVE-2022-41035. Soprattutto è da segnalare come Microsoft in questo caso sia riuscita a correggere altre due vulnerabilità zero-day, delle quali una è stata già vista sfruttata in natura. Si tratta delle vulnerabilità CVE-2022-41033 e CVE-2022-41043.
Per quanto riguarda questi due zero-day, il primo si tratta di uno sfruttamento della CVE-2022-41033 che riguarda il sottosistema COM+ Event System Servicequesta vulnerabilità è stata quotata con gravità di 7.8 a causa della sua capacità di consentire elevazione del privilegio e la violazione integrale della triade CIA. L’attacco a questa vulnerabilità è attivo, pertanto Microsoft non ha rilevato i dettagli tecnici della meccanica di sfruttamento. L’unica cosa che è certa è che la complessità dell’attacco sia bassa, non richieda interazione utente e consenta l’ottenimento dei privilegi di SYSTEM, una miscela comunque esplosiva. L’altra vulnerabilità, la CVE-2022-41043, riguarda Microsoft Office, che consente una raccolta di informazioni sensibili da parte dell’attaccante, violando così la confidenzialità. Non è chiaro se l’attacco sia in corso, ma è altamente probabile.
Altre vulnerabilità critiche risolte sono: la CVE-2022-37968, che consente ad un utente privo di autenticazione di realizzare una EoP e prendere potenzialmente il controllo amministrativo su cluster Kubernetes in Azure (punteggio 10 CVSS), la CVE-2022-37976 (punteggio 8.8 CVSS), anche questa capace di garantire, questa volta ad utenti DCOM con autenticazione, di attaccare Active Directory Certificate Services e ottenere una EoP, ottenendo privilegi di amministratore; la CVE-2022-41038 (punteggio 8.8) che consente ad un attaccante privo di autenticazione di ottenere una RCE su Microsoft SharePoint; la CVE-2022-38048 (punteggio 7.8), anche questa capace di consentire una RCE, ma anche una ACE (esecuzione di codice arbitrario, ma non solo da remoto) attraverso Microsoft Office, con impatto sulla triade CIA; ed infine la CVE-2022-34689 (punteggio 7.5), capace di falsificazione su Windows CryptoAPI (violazione dell’integrità), per cui un attaccante può, manipolando un certificato x.509 pubblico, falsificare la sua identità ed eseguire azioni come una firma di codice o autenticazione attraverso il certificato oggetto di attacco.
Il grosso dei restanti correttivi hanno riguardato vulnerabilità (ben 12) riguardanti Microsoft Edge (basato su Chromium), con differenti gradi, anche in questo caso, di gravità critiche.
Insomma, anche questo mese tanto lavoro per Microsoft, ma siamo ancora in attesa dei correttivi per Exchange.
