Come accade tutti i mesi, ogni secondo martedì, Microsoft ha pubblicato una serie di aggiornamenti di sicurezza per Windows e per tutti gli altri software supportati. Le vulnerabilità risolte ad aprile 2023 sono complessivamente 114, 7 sono indicate come critiche mentre una risulta già sfruttata dai criminali informatici per installare malware sui sistemi Windows delle vittime.
La falla di sicurezza zero-day sfruttata da un gruppo di criminali informatici per eseguire il ransomware Nokoyawa è stata finalmente risolta da Microsoft con il rilascio di una patch per la vulnerabilità CVE-2023-28252.
Il problema di sicurezza è stato scoperto nel Common Log File System, un componente di sistema che gestisce i log in tempo reale, riguarda tutte le versioni server e client di Windows e può essere sfruttato, in assenza della patch correttiva appena rilasciata da Microsoft, per acquisire i privilegi SYSTEM su qualunque macchina e assumere così il totale controllo della stessa.
Microsoft conferma che un attacco informatico facente leva sulla falla CVE-2023-28252 è a bassa complessità, non richiede alcuna interazione da parte della vittima ed è per questo motivo estremamente pericoloso.
Il bug in questione era stato scoperto e segnalato da Kaspersky a febbraio 2023 ma solamente adesso diventa disponibile una correzione ufficiale.
Per quanto riguarda gli altri aggiornamenti del mese, particolarmente importante appare la patch per la falla CVE-2023-21554. In questo caso il rischio consiste nell’esecuzione di codice in modalità remota (attacco RCE, Remote Code Execution) allorquando la macchina vulnerabile eseguisse il servizio Microsoft Message Queuing (MSMQ).
Per verificare se il servizio fosse in esecuzione, basta aprire il prompt dei comandi di Windows e verificare se sulla porta 1801 fosse in ascolto il componente server di MSMQ:
Una terza vulnerabilità critica riguarda il server DHCP di Windows (CVE-2023-28231): un utente autenticato potrebbe sfruttare questo bug di sicurezza per inviare una chiamata RPC appositamente predisposta al servizio DHCP ed eseguire codice arbitrario sulla macchina.
L’elenco di tutte le lacune di sicurezza risolte ad aprile 2023 è disponibile, al solito, su ISC-SANS mentre il blog di Cisco Talos offre maggiori spunti sulle vulnerabilità che destano maggiore interesse.