Nuovi aggiornamenti da Microsoft

News
Visite: 7515

Il 10 maggio Microsoft ha rilasciato il canonico aggiornamento mensile: May 2022 Patch. 

Anche in questo caso non si è trattato di un aggiornamento di poco conto, non solo per la pletora di software di sistema coinvolti, ma anche, e soprattutto, visto che ha risolto ben 73 problemi di sicurezza, tra cui 2 vulnerabilità 0-day delle quali 1 già “vista in natura”. 

Anche la gravità delle vulnerabilità non è di poco conto: si hanno 6 vulnerabilità critiche e 66 importanti. Anche il tipo di sfruttamento è da tenere in considerazione, in quanto oltre la metà delle vulnerabilità sfrutta Remote Code Execution (RCE) e Elevation of Privileges (EoP) quali metodi di attacco. 

Vediamo in dettaglio alcune delle vulnerabilità risolte. 

Non è propriamente un elemento dell’ecosistema Microsoft, ma in architetture complesse la convivenza con altri sistemi è necessaria, pertanto non è poi così impossibile pensare alla presenza attiva si un servizio Network File System (NFS) in ambiente Microsoft. Ed è proprio questo servizio, nella versione 2 e 3, che con la vulnerabilità critica (ha ottenuto da Microsoft un CVSSv3 di 9.8) CVE-2022-26937 rischiava di venire espugnato da un attaccante remoto e non autenticato, semplicemente attraverso una chiamata al servizio NFS stesso costruita appositamente, consentendo così l’esecuzione di codice. Naturalmente il problema non riguarda la più moderna versione 4.1 del medesimo protocollo: pertanto Microsoft (ed il buon senso) indica di disabilitare (ove possibile) le versioni 2 e 3 del protocollo nel caso si fosse nell’impossibilità immediata di aggiornare i sistemi. La vulnerabilità non è nuova: avevamo già parlato delle precedenti CVE-2022-24491 e CVE-2022-24497 a carico del medesimo servizio. 

Vulnerabilità di livello importante affiggono invece differenti servizi propri dell’ecosistema Microsoft, quindi strategicamente più significativi. 

Il servizio Windows Local Security Authority (LSA) soffre ad esempio della vulnerabilità (ora sanata) CVE-2022-26925, valutata con CVSSv3 8.1. Questa vulnerabilità è stata già vista “in natura”: un attaccante privo di autenticazione è in grado di forzare il controller di dominio ad autenticarlo attraverso NTLM. Per questo motivo, quando combinata con il relay attack al servizio New technology LAN manager (NTLM), questa vulnerabilità può raggiugere un CVSSv3 9.8, ossia un livello estremamente critico. Si tratta dell’ennesima correzione alla vulnerabilità PetitPotam del 2021. 

Il servizio Windows Lightweight Directory Access Protocol (LDAP) soffre di differenti vulnerabilità (ora sanate), ben 10 per l’esattezza: dalla CVE-2022-22012 alla CVE-2022-22014, dalla CVE-2022-22128 alla CVE-2022-22131, e le CVE-2022-22137, CVE-2022-22139 e CVE-2022-22141. 

La CVE-2022-29130 e la CVE-2022-22012 in particolare hanno raggiunto la gravita CVSSv3 di 9.8, contro le restanti che “rimangono” a quota considerevole 8.8. 

Si tratta di vulnerabilità il cui attacco necessita sempre di autenticazione (vedi CVE-2022-29130 e CVE-2022-22012); la CVE-2022-29139 invece necessita solo di coinvolgere un client LDAP vulnerabile a connettersi ad un server LDAP malevolo. 

Anche l’infrastruttura di virtualizzazione di Microsoft, Hyper-V, non è rimasta fuori da questo giro di aggiornamenti: con la vulnerabilità CVE-2022-22713, Windows Hyper-V rischia un DoS. Non si è visto ancora in natura, ma Microsoft riporta aver osservato che tale vulnerabilità era già pubblicamente nota. È stata classificata con un basso CVSSv3 (5.6) a causa della precondizione (per il suo sfruttamento) di difficile risoluzione per l’attaccante che deriva dal dover questo vincere una condizione di corsa critica (dunque non predicibile). 

La vulnerabilità CVE-2022-21978 coinvolge Microsoft Exchange Server in un possibile attacco EoP per cui un attaccante possa acquisire il privilegio di amministratore di dominio a partire da un utente membro del dominio, ma parte di un gruppo di privilegio elevato. Benché proprio questo ultimo prerequisito sia difficilmente ottenibile da un attaccante remoto, c’è da considerare il fatto che Exchange è un obiettivo primario, e una tale opportunità varrà la pena di essere ricercata e sfruttata. La gravità è stata valutata con CVSSv3 di 8.2. 

Analoga vulnerabilità di EoP affligge lo spooler di stampa di Windows con le vulnerabilità CVE-2022-29132 e CVE-2022-29104, entrambe con CVSSv3 7.8. Anche in questo caso si tratta dell’ultima di una lunghissima fila di correzioni allo spooler. 

Nello stesso giorno inoltre è terminato il periodo di aggiornamenti (End of Servicing) per la versione 20H2 di Windows 10 (escluse versioni Enterprise o Education): https://docs.microsoft.com/en-us/lifecycle/announcements/windows-10-20h2-end-of-servicing

Non potremo più parlare di patch di sicurezza per questa versione (ovvero ottenerne), pertanto chi avesse ancora questa versione, si affrettasse a transitare ad una versione più recente. 

Pin It
,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.