Anche questo mese Microsoft ha lavorato pesantemente per correggere i problemi in tutti i suoi territori, da Azure alle soluzioni on-premise: si contano quasi 40 differenti campi di azioni su cui si è visto l’intervento della casa di Redmond. 

Il risultato è il rilascio di correzioni per problemi di sicurezza (oltre alla correzione di errori funzionali) per ben 62 CVE includenti anche vulnerabilità 0-day già viste sfruttate in natura. 

Di queste CVE, ben 9 risultano di livello critico (per il 14.5%) e 53 di livello alto (per l’85.5%). 

In particolare le tecniche maggiormente sfruttabili per via delle vulnerabilità individuate sono l’Elevazione del privilegio (EoP – Elevation of Privilege) per il 41.9% del totale, seguita dall’Esecuzione di codice Remoto (RCE – Remote Code Execution) per il 24.2% del totale. Non potevano mancare, anche se in misura nettamente minore, tecniche si Denial of Service (DoS – per il 6% del totale), Spoofing (per il 3% del totale) ed evasione di meccanismi si sicurezza (Security Features Bypass, per il 4% del totale). 

Con questa patch dobbiamo finalmente sottolineare l’attenzione e risoluzione a problemi di sicurezza mancanti nella patch del mese precedente, ossia la correzione per le CVE-2022-41040 e CVE-2022-41082 (ProxyNotShell) di cui avevamo già parlato. 

Scendendo nel dettaglio della differente vulnerabilità, la CVE-2022-41049 (CVSS 5.4) e la CVE-2022-41091 (CVSS 5.4) consentono di aggirare funzionalità di sicurezza di Windows, Mark of the Web (MoTW), anche questo oggetto di nostre attenzioni in precedenza. Ricordiamo brevemente che MoTW è una funzione di sicurezza di Windows che contrassegna i file scaricati da Internet impedendo così su questi l’esecuzione di specifiche azioni (per esempio questo è il caso dei file di Microsoft Office scaricati da Internet che una volta aperti mostrano un avviso di sicurezza che ne chiede l’attivazione del contenuto, ossia le macro. Qualora non venga abilitato, il documento verrebbe fruito attraverso la “Visualizzazione protetta”). L’evasione di questo sistema è stato vista in natura per la CVE-2022-41091 con tanto di codice per lo sfruttamento disponibile pubblicamente; la vulnerabilità CVE-2022-41049 non è stata ancora vista sfruttata in natura, ma Microsoft considera il suo sfruttamento molto probabile. Lo sfruttamento di queste vulnerabilità non può prescindere dall’interazione con l’utente, pertanto l’attaccante dovrà trovare strategie per indurre la vittima ad aprire un file appositamente creato per realizzare l’attacco. 

La vulnerabilità CVE-2022-41073 è invece una vulnerabilità importante (CVSS 7.8) di Elevazione del Privilegio, anche questa vista in natura. Ancora una volta lo sfruttamento parte dal sottosistema di stampa di Windows (Windows Print Spooler service, un elemento di estremo interesse per gli attaccanti) e consente ad un utente con un basso privilegio di elevarsi fino a SYSTEM, con le evidenti conseguenze del caso. Anche la CVE-2022-41125 è una vulnerabilità importante (CVSS 7.8) di Elevazione del Privilegio vista in natura: è stata localizzata nel Windows Cryptography Next Generation (CNG) Key Isolation Service, servizio che Windows utilizza per il supporto alla crittografia necessario nell’esercizio delle sue funzioni. Non si conoscono molti dettagli su questa vulnerabilità, evidentemente molto sensibile. 

In questa patch Microsoft integra le correzioni alle vulnerabilità di OpenSSL di cui abbiamo parlato recentemente, esattamente la CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) e la CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Oggetto della correzione (in quanto utilizzano OpenSSL) sono i seguenti prodotti Microsoft: Azure SDK for C++, Microsoft Azure Kubernetes Service e Vcpkg. 

Concludiamo con la parte più insidiosa, le vulnerabilità critiche. 

La CVE-2022-41118 e la CVE-2022-41128 sono vulnerabilità di esecuzione di codice remoto che affliggono i linguaggi di scripting JScript9 e Chakra. In particolare la CVE-2022-41128 (CVSS 8.8) affligge il linguaggio JScript9 ed è stata osservata in natura, mentre la CVE-2022-41118 (CVSS 7.5) non sembra ancora essere sfruttata. Quest’ultima è stata giudicata da Microsoft come probabile, ma certamente ha lo svantaggio di dover costringere l’attaccante a convincere un utente a connettere un server malevolo che ospiti un servizio Web predisposto a vincere una condizione di corsa che consente lo sfruttamento. 

Per tutti coloro che volessero approfondire, Microsoft fornisce un gran numero di informazioni a partire dall’indirizzo https://msrc.microsoft.com/update-guide/en-us/releaseNote/2022-Nov">https://msrc.microsoft.com/update-guide/en-us/releaseNote/2022-Nov. 

Tweet