Microsoft ha appena pubblicato le patch ufficiali per la risoluzione di 75 nuove vulnerabilità di sicurezza nei suoi prodotti software: 8 di esse sono critiche, 3 erano già note in precedenza e una è attivamente sfruttata dai criminali informatici per condurre attacchi.
Partendo dalla lacuna di sicurezza già nota e utilizzata, essa riguarda il componente Windows LSA (Local Security Authority) che serve al sistema operativo Microsoft per gestire le policy di sicurezza locali e autenticare gli utenti che avviano sessioni da remoto.
La falla zero-day classificata come CVE-2022-26925 permette a un aggressore di forzare i controller di dominio vulnerabili ad autenticare utenti non autorizzati alla connessione usando il protocollo NTLM (Windows NT LAN Manager).
La nuova correzione va ad applicare un’ulteriore pezza su un problema che era emerso già a luglio 2021 dopo gli studi svolti dal ricercatore Lionel Gilles. All’epoca la modalità di attacco fu chiamata PetitPotam e la patch appena rilasciata pubblicamente aiuta a risolvere alcuni bug che erano rimasti in sospeso.
Per sottolineare la gravità del problema, basti pensare che le lacune alla base di PetitPotam sono state ampiamente sfruttate dal ransomware LockFile per aggredire domini Windows e distribuire il malware all’interno delle infrastrutture di rete altrui.
CVE-2022-26925 impatta su tutte le versioni di Windows anche se i primi sistemi da aggiornare sono, per ovvi motivi, i controller di dominio.
Come già accaduto più volte nel recente passato, Microsoft interviene per risolvere una vulnerabilità (CVE-2022-26937) nell’implementazione di NFS (Windows Network File System): abbiamo visto cos’è NFS e perché i problemi di sicurezza che riguardano questo componente sono davvero pericolosi. Il problema riguarda soltanto coloro che usano NFS (per impostazione predefinita risulta disabilitato) e può consentire l’esecuzione di codice nocivo in modalità remota (falla RCE, Remote Code Execution).
Non è possibile tralasciare la vulnerabilità scoperta nel protocollo LDAP per l’interrogazione e la modifica dei servizi di directory (CVE-2022-22012) che può portare anche in questo caso all’esecuzione di codice in modalità remota. È necessario però che il parametro MaxReceiveBuffer sia stato modificato impostando un valore più elevato rispetto a quello predefinito.
Tra le falle più critiche di maggio 2022 citiamo anche CVE-2022-26923 che un aggressore può eventualmente sfruttare, sui sistemi non aggiornati, per acquisire privilegi più elevati sui sistemi che eseguono i servizi di dominio Active Directory.
Microsoft è nuovamente intervenuta anche sul funzionamento dello spooler della stampante con una serie di correzioni che dovrebbero scongiurare l’acquisizione di privilegi elevati da parte di soggetti non autorizzati. Al solito, però, se la stampante non dovesse funzionare sapete in anticipo su quali patch dovreste puntare il dito.
L’analisi delle patch Microsoft elaborata da ISC-SANS offre una panoramica completa di tutti gli aggiornamenti di sicurezza rilasciati questo mese.