Il Patch Tuesday di marzo 2023 ha corretto 80 vulnerabilità in Windows e in altri prodotti Microsoft che interessano il sistema operativo e le sue applicazioni, tra cui due di tipo zero-day, di cui una in Outlook, attivamente sfruttate dagli attori delle minacce in attacchi in rete.

Si ricorda che Microsoft classifica una vulnerabilità come zero-day se è pubblicamente divulgata o attivamente sfruttata senza che sia disponibile una correzione ufficiale.

Delle 80 vulnerabilità, 8 sono classificate come critiche, 71 hanno invece un indice di gravità importante e solo una è stata classificata con gravità moderata.

Le suddette vulnerabilità sono suddivise come di seguito:

  • 21 sono di tipo EoP (Elevation of Privilege);
  • 2 consentono il bypass delle funzioni di sicurezza;
  • 27 sono di tipo RCE (Remote Code Execution);
  • 15 di tipo ID (Information Disclosure);
  • 4 di tipo Denial of Service;
  • 10 di tipo spoofing,
  • 1 riguarda, infine, Edge – Chromium.

Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (76,12/100).

In merito alle due vulnerabilità zero-day risolte con il Patch Tuesday di marzo 2023, la prima è stata tracciata come CVE-2023-23397 ed è stata identificata in Microsoft Outlook per Windows.  Si tratta di una vulnerabilità di tipo Elevation of Privilege (elevazione dei privilegi) per la quale un ricercatore di sicurezza informatica ha pubblicato in rete un exploit PoC.

Se sfruttata, può consentire a un attore delle minacce di rubare da remoto gli hash delle password semplicemente usando un’e-mail appositamente creata per forzare i dispositivi delle vittime a connettersi a una URL remota a cui viene successivamente trasmesso l’hash Net-NTLMv2 dell’account Windows compromesso.

In particolare, i messaggi malevoli di posta elettronica attivano una connessione verso un percorso UNC (Uniform Naming Connection) a una risorsa condivisa SMB su porta TCP 445 controllata dall’attaccante, che può quindi usare l’hash Net-NTLMv2 trafugato alla vittima per autenticarsi al suo posto su altri servizi.

Come segnalato dalla stessa Microsoft nel relativo bollettino di sicurezza, la gravità di questa vulnerabilità risiede nel fatto che si innesca automaticamente prima che la mail venga letta nel riquadro di anteprima del client di posta Outlook, nel momento in cui viene recuperata ed elaborata dal server di posta elettronica.

Secondo alcune indiscrezioni al momento non confermate, la vulnerabilità sarebbe stata già sfruttata in attacchi mirati dal gruppo criminale filorusso Cozy Bear (conosciuto anche come APT28, STRONTIUM, Sednit, Sofacy), che così sarebbero riusciti a rubare account specifici di posta elettronica.

La seconda vulnerabilità critica è stata tracciata come CVE-2023-24880 e identificata nel componente Windows SmartScreen, uno strumento cloud-based per la protezione dei sistemi Windows che consente di bloccare applicazioni, file e siti potenzialmente dannosi.

Se sfruttata, potrebbe consentire il bypass delle funzioni di sicurezza usando file eseguibili appositamente creati che consentono di eludere le difese del Mark of the Web (MOTW), con conseguente perdita limitata dell’integrità e della disponibilità di funzioni di sicurezza di Windows e delle sue applicazioni, compresa ad esempio la suite Office.

Il flag Mark of the Web – gli esperti ricordano –  consente di segnalare se un file è stato scaricato dalla rete Internet o comunque proviene da dispositivi remoti e quindi potenzialmente non attendibili.

La vulnerabilità è stata scoperta dal Threat Analysis Group di Google, che l’ha individuata mentre veniva sfruttata dal ransomware Magniber. I ricercatori del TAG di Google, inoltre, hanno verificato che la nuova CVE-2023-24880 consente di bypassare la patch per una precedente zero-day CVE-2022-44698 sfruttata anch’essa da gruppo criminale Magniber e già corretta da Microsoft in occasione del Patch Tuesday di dicembre 2022.

Lo stesso Threat Analysis Group di Google ha segnalato di aver osservato oltre 100.000 download di file MSI dannosi firmati con la firma Authenticode malformata a partire da gennaio 2023, consentendo così agli attori della minaccia di distribuire il ransomware Magniber senza che venisse attivato alcun avviso di sicurezza. La maggior parte di questi download è stata associata a utenti europei.

Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di marzo 2023 gli esperti sottolineano l’importanza di aggiornare quanto prima i sistemi per non esporli a un elevato rischio di attacco informatico.

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi, non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft di marzo 2023, in Windows 10 basta cliccare sul pulsante Start, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti. In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio degli esperti è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.

Tutti i dettagli sul Patch Tuesday di marzo 2023 sono disponibili sulla pagina ufficiale Microsoft.

https://www.cybersecurity360.it/news/aggiornamenti-microsoft-marzo-2023-ce-la-patch-anche-per-due-zero-day-gia-sotto-attacco/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE