Vulnerabilities

Microsoft Patch 73 CVE nell'agosto 2023 (CVE-2023-38180)

ResilientX

Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili del Patch Tuesday per agosto 2023, risolvendo un totale di 73 vulnerabilità in un'ampia gamma di prodotti. Gli aggiornamenti forniscono correzioni alle vulnerabilità classificate come critiche e importanti in termini di gravità che, se sfruttate, potrebbero comportare l'esecuzione di codice in modalità remota, l'innalzamento dei privilegi, la divulgazione di informazioni, la negazione del servizio e altri impatti.

Punti salienti degli aggiornamenti del Patch Tuesday di agosto:

  • In totale sono stati affrontati 73 CVE, di cui 6 classificati come critici e 67 importanti.
  • Le vulnerabilità legate all'esecuzione di codice in modalità remota hanno rappresentato il 31,5% delle falle corrette, seguite dall'elevazione dei privilegi al 24,7%.
  • Diverse vulnerabilità critiche di RCE sono state risolte in Microsoft Message Queuing.
  • Un'importante vulnerabilità di tipo denial of service in .NET 6/7 e ASP.NET Core è stata segnalata come sfruttata in modalità zero-day prima del rilascio della patch.
  • In Exchange Server sono state risolte diverse vulnerabilità, di cui 2 classificate come più suscettibili di essere sfruttate.
  • Quest'anno sono state risolte 33 vulnerabilità legate all'elevazione dei privilegi nel kernel di Windows.
  • Microsoft ha rilasciato un avviso con misure di difesa approfondite per Office relative a una falla di Windows Search divulgata il mese scorso.

Vulnerabilità critiche relative all'accodamento dei messaggi Microsoft

Tra i problemi più gravi risolti questo mese vi sono tre vulnerabilità critiche legate all'esecuzione di codice in modalità remota nel componente Microsoft Message Queuing (MSMQ), ciascuna con un punteggio di 9,8 sulla scala di gravità CVSSv3. Tracciati come CVE-2023-35385, CVE-2023-36910 e CVE-2023-36911, lo sfruttamento riuscito di questi difetti potrebbe consentire a un utente malintenzionato non autenticato di eseguire codice arbitrario su un sistema vulnerabile inviando pacchetti MSMQ appositamente predisposti se il servizio è abilitato.

Il ricercatore Yuki Chen di Cyber KunLun è accreditato per aver segnalato sei vulnerabilità totali in Microsoft Message Queuing questo mese, inclusi i tre problemi critici RCE sopra menzionati, nonché CVE-2023-36912 e CVE-2023-38172 (denial of service) e CVE-2023-35383 (divulgazione di informazioni). Sebbene l'accodamento dei messaggi possa non essere ampiamente utilizzato, per le organizzazioni che si affidano a questa funzionalità di Windows per le comunicazioni tra processi, l'applicazione di queste patch critiche dovrebbe essere una priorità.

Vulnerabilità zero-day di tipo Denial of Service in ambito .NET

Questo mese Microsoft ha inoltre risolto un'importante vulnerabilità di tipo denial of service, identificata come CVE-2023-38180, che era stata pubblicamente segnalata come sfruttata in natura come zero-day prima del rilascio della patch. Con un punteggio di gravità CVSS di 7,5, il problema riguarda .NET 6/7 e ASP.NET Core e potrebbe consentire a un utente malintenzionato di causare una condizione di negazione del servizio su server vulnerabili se sfruttato con successo.

Poiché i dettagli dell'exploit in-the-wild erano ancora sconosciuti al momento del rilascio della patch, l'avviso indica che le organizzazioni dovrebbero applicare l'aggiornamento tempestivamente per mitigare i potenziali rischi. Il fatto che questo problema DoS sia stato sfruttato in modo indiscriminato prima della divulgazione sottolinea l'importanza di una tempestiva applicazione delle patch per i sistemi connessi a Internet.

Difetti relativi all'elevazione dei privilegi del kernel di Windows

Tra le 67 vulnerabilità importanti affrontate questo mese, spiccano 5 falle di elevazione dei privilegi nel kernel di Windows: CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 e CVE-2023-38154. Con punteggi di severità CVSS pari a 7,8, lo sfruttamento efficace di questi difetti potrebbe consentire a un aggressore locale autenticato di ottenere i privilegi SYSTEM sui sistemi interessati. Quattro dei cinque sono stati segnalati dai ricercatori di Google Project Zero.

Con 33 vulnerabilità legate all'elevazione dei privilegi del kernel di Windows risolte da Microsoft finora quest'anno, tenere il passo con le patch per questi tipi di falle può aiutare a rafforzare i sistemi contro attacchi sofisticati che perseguono l'escalation dei privilegi concatenando più vulnerabilità. Data la probabilità di sfruttabilità, le organizzazioni dovrebbero dare priorità al test e alla distribuzione delle patch per queste falle di Windows Kernel.

Vulnerabilità in Exchange Server

Un'altra area preoccupante di questo mese include diverse vulnerabilità risolte in Microsoft Exchange Server. In totale, sono stati risolti sei problemi relativi a Exchange Server, tra cui:

  • CVE-2023-21709 - Importante escalation dei privilegi sfruttando la forzatura bruta delle password
  • CVE-2023-38181 - Importante spoofing
  • CVE-2023-38185 - RCE importante con meno probabilità di essere sfruttato
  • CVE-2023-35368 - RCE importante con meno probabilità di essere sfruttato
  • CVE-2023-38182 - RCE importante con maggiori probabilità di essere sfruttato
  • CVE-2023-35388 - RCE importante con maggiori probabilità di essere sfruttato

Di particolare rilievo sono CVE-2023-38182 e CVE-2023-35388 che potrebbero abilitare RCE e sono considerati più suscettibili di essere sfruttati. Exchange Server è stato un bersaglio interessante per gli aggressori negli ultimi anni, quindi il test e la distribuzione di questi aggiornamenti dovrebbero essere una priorità per le organizzazioni che utilizzano Exchange. Sono necessari passaggi aggiuntivi anche per risolvere completamente il problema CVE-2023-21709.

Difetto relativo all'elevazione dei privilegi del driver CLFS di Windows

Microsoft ha risolto un altro importante problema di elevazione dei privilegi nel driver Windows Common Log File System (CLFS) registrato come CVE-2023-36900 con un punteggio di gravità CVSS di 7,8. In particolare, questo è il quinto difetto di sicurezza corretto nel driver CLFS di Windows proprio quest'anno. Le precedenti vulnerabilità legate all'escalation dei privilegi dei driver CLFS erano state sfruttate in passato come zero-day, a riprova della criticità della rapida applicazione di patch per questo tipo di problemi.

Aggiornamento approfondito della difesa per Office

Pur non affrontando alcuna vulnerabilità diretta questo mese, Microsoft ha rilasciato un avviso (ADV230003) come misura di difesa approfondita che fornisce una maggiore sicurezza per Office in relazione a un problema precedentemente risolto per Windows Search (CVE-2023-36884) il mese scorso. Sebbene originariamente considerata critica per RCE, questa vulnerabilità di Windows Search è stata modificata in modo da bypassare importanti funzionalità di sicurezza questo mese.

Implementando le misure di rafforzamento di Office descritte in ADV230003, Microsoft mira a eliminare potenziali catene di attacchi che potrebbero portare allo sfruttamento. Si consiglia alle organizzazioni di esaminare e implementare gli aggiornamenti di Office indicati nell'avviso insieme alla correzione delle ultime falle di Windows. Mantenere Office e Windows completamente aggiornati è fondamentale per mantenere difese a più livelli.

Guardando gli aggiornamenti del Patch Tuesday di agosto nella loro interezza, spiccano alcune tendenze chiave:

  • L'esecuzione di codice in modalità remota e le vulnerabilità relative all'elevazione dei privilegi continuano a costituire la maggior parte delle falle risolte ogni mese. Dare priorità all'implementazione delle patch per questi tipi di vulnerabilità più gravi nei sistemi e nei server connessi a Internet dovrebbe rimanere un obiettivo prioritario.
  • Microsoft Exchange Server continua a essere preso di mira da ricercatori e avversari, con altre sei falle risolte questo mese, tra cui alcune più suscettibili di essere sfruttate. Le patch di Exchange devono essere testate e implementate rapidamente.
  • Il kernel di Windows rimane l'obiettivo principale per i difetti relativi all'elevazione dei privilegi, e alle organizzazioni viene consigliato di continuare a ottimizzare la gestione delle patch per risolvere questo tipo di problemi mensilmente.
  • I servizi di messaggistica come MSMQ possono passare inosservati, ma necessitano di una rapida applicazione di patch quando vengono risolti i difetti critici di esecuzione del codice in modalità remota.
  • Gli zero-day sfruttati attivamente, come il problema .NET DoS divulgato questo mese, dimostrano l'importanza di cicli di patching rapidi.
  • Anche gli aggiornamenti approfonditi sulla difesa, come l'avviso di Office, meritano attenzione per mitigare le potenziali catene di attacchi.

Con gli attacchi alla catena di fornitura del software che continuano a fare notizia, è chiaro che gli avversari stanno sfruttando attivamente le vulnerabilità nei prodotti e nei componenti Microsoft più diffusi e più di nicchia. Lo sviluppo di processi per testare e distribuire rapidamente gli aggiornamenti mensili del Patch Tuesday in tutto l'ambiente rimane una delle best practice più importanti che le organizzazioni possono implementare per migliorare il livello di sicurezza.

Related Blog Posts
No items found.
Related Blog Posts
Il bug RegressHion: un'analisi approfondita di CVE-2024-6387 in OpenSSH
La scoperta di CVE-2024-6387, noto come bug RegressHion...
Read full article
CVE-2023-4863: A Comprehensive Guide
CVE-2023-4863 is a significant vulnerability discovered in...
Read full article
Ivanti's Zero-Day Vulnerabilities (CVE-2024-21887 and CVE-2023-46805)
Ivanti Connect Secure (ICS) and Ivanti Policy Secure (IPS)...
Read full article