Grande lavoro per Microsoft, tra minacce 0-day e altre vulnerabilità di sicurezza

News
Visite: 8456

Benché nel contesto di un aggiornamento pianificato, il “April 2022 Security Updates”, Microsoft ha rilasciato 128 correzioni per vulnerabilità di sicurezza. 

Di queste 10 sono ritenute critiche, 2 sono 0-day, tra l’altro capaci di elevazione di privilegio e già rilevati attivi e 3 consentono exploit (RCE) con capacità di propagazione (Worm) senza interazione utente.  

Sono anni che Microsoft non usciva con un volume così massiccio di correzioni, per numero di bug risolti e soprattutto per superficie d’intervento: i bug infatti sono stati trovati (e corretti) in una gran parte del portafoglio software di Microsoft. 

In particolare gli 0-day sono stati classificati con CVE-2022-24521 (CVSS 7.8) e CVE-2022-26904 (CVSS 7), mentre le vulnerabilità di esecuzione codice remoto (RCE) sono state classificate come CVE-2022-26809 (CVSS 9.8), CVE-2022-24491 (CVSS 9.8) e CVE-2022-24497 (CVSS 9.8). 

Benché valutati tecnicamente meno gravi degli RCE, gli 0-day individuati destano molta preoccupazione in quanto rilevati attivi “in campo aperto”, e al solito non sappiamo quanto tempo i clienti di Microsoft impiegheranno a difendersi applicando le patch ai prodotti interessati. 

La CVE-2022-24521 è stata segnalata a Microsoft da NSA, e coinvolge il driver CLFS (Common Log File System) di Windows e consente EoP (Elevation of Privilege) dopo l'autenticazione, dopo che un utente malintenzionato ha avuto accesso ad un sistema vulnerabile. L’uso di questa vulnerabilità EoP indica che un attore di minacce la sta utilizzando nel movimento laterale per capitalizzare un punto di appoggio già in suo possesso. Questa vulnerabilità è simile alla CVE-2022-24481 (che affligge lo stesso CLFS) che viene ritenuta da Microsoft “probabilmente sfruttabile”, ma in questo caso non parliamo di uno 0-day. 

Le CVE-2022-26904 è un'altra EoP; questa affligge il servizio profilo utente di Windows, ma risulta più complessa nel suo sfruttamento in quanto richiede ad un attaccante di vincere una “race condition” (un problema di concorrenza); tuttavia è comunque considerata da Microsoft "maggiormente probabile" poiché i dettagli su questa vulnerabilità sono stati divulgati pubblicamente prima della messa a disposizione della correzione. 

La CVE-2022-26809 è una vulnerabilità RCE che affligge il runtime di RPC (Remote Procedure Call). Potrebbe essere sfruttata inviando "una chiamata RPC appositamente predisposta contro l’host vittima". Si tratta del classico sfruttamento di funzionalità legittime per scopi non legittimi. Una possibile mitigazione (in assenza di patch) è bloccare il traffico perimetrale per la porta TCP 445, ma nulla si potrebbe all’interno dello stesso perimetro: occorre dunque la patch. L’assenza di interazione con l’utente consente a questo sfruttamento di rendere propagabile su altri obiettivi la minaccia (che è detta dunque “wormable”) e allo stesso tempo agevola i movimenti laterali. 

Le CVE-2022-24491 e CVE-2022-24497 sono vulnerabilità RCE che affliggono il file system di rete di Windows (NFS). Un utente malintenzionato remoto non autenticato potrebbe sfruttarle inviando messaggi di rete con protocollo NFS appositamente predisposti contro il sistema vulnerabile, eseguendo così un proprio codice senza interazione con l’utente (minaccia anche in questo caso “wormable”). Questa particolare vulnerabilità potrebbe attrarre gli operatori di ransomware in quanto consente l’esposizione di dati sensibili. Da notare che NFS non è una configurazione predefinita per i dispositivi Windows, bensì Unix, e questo potrebbe rendere meno probabile la minaccia, ma tant’è. 

L’aggiornamento coinvolge molte altre vulnerabilità critiche di tanti prodotti Microsoft: 

  • CVE-2022-26817: RCE in Windows DNS Server (CVSS 6.6) 
  • CVE-2022-26815: RCE in Windows DNS Server (CVSS 7.2) 
  • CVE-2022-26814: RCE in Windows DNS Server (CVSS 6.6) 
  • CVE-2022-23259: Microsoft Dynamics 365 (locale) (CVSS 8.8) 
  • CVE-2022-22008: Windows Hyper-V (CVSS 7.7) 
  • CVE-2022-23257: Windows Hyper-V (CVSS 8.6) 
  • CVE-2022-24537: Windows Hyper-V (CVSS 7.7) 
  • CVE-2022-26919: Windows LDAP (CVSS 8.1) 
  • CVE-2022-24541: Windows Server (CVSS 8.8) 
  • CVE-2022-24500: Windows SMB (CVSS 8.8) 
Pin It
, ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.