Il patch day Microsoft di novembre 2023 si configura come insolitamente leggero. L’azienda di Redmond ha rilasciato le correzioni ufficiali per 64 vulnerabilità di sicurezza: tre di esse sono considerate come a elevata criticità e tre sono già sfruttate dai criminali informatici per sferrare attacchi.
Questo mese l’azienda di Redmond “festeggia” i primi 20 anni di Patch Tuesday: a parte il rilascio occasionale di aggiornamenti emergenziali, la scelta del secondo martedì del mese come giorno deputato alla pubblicazione delle correzioni di sicurezza per tutti i software Microsoft risale proprio a due decenni fa.
Quali sono gli aggiornamenti Microsoft più importanti per il mese di novembre 2023
Due aggiornamenti di sicurezza riguardano altrettante vulnerabilità sfruttabili soltanto in ambito locale ma che consentono di acquisire privilegi elevati. Le patch in questione risolvono le lacune di sicurezza contraddistinte dagli identificativi CVE-2023-36033 e CVE-2023-36036. Entrambe già sfruttate dai criminali informatici, nel caso della prima il problema riguarda la libreria Windows DWM Core. DWM (Desktop Window Manager) è un componente chiave del sistema operativo che gestisce l’aspetto visivo e la composizione grafica dell’interfaccia utente. Controlla effetti visivi come le trasparenze, le animazioni e l’aspetto delle finestre. Inoltre, è responsabile della gestione di tutto ciò che appare sullo schermo, contribuendo a fornire un’esperienza utente fluida.
La seconda vulnerabilità che abbiamo citato, invece, interessa il driver Windows Cloud Files mini-filter. I mini-filter sono componenti di sistema che consentono di intercettare e manipolare le operazioni di I/O (input/output) a livello di file system. Questi driver possono essere utilizzati per implementare funzionalità come la crittografia dei file, la compressione, il controllo degli accessi o altre operazioni.
Particolarmente rilevante è poi la patch che corregge la vulnerabilità CVE-2023-36025. Anch’essa già sfruttata per condurre attacchi particolarmente efficaci “nel mondo reale”, corregge un problema in SmartScreen, funzionalità di protezione integrata in Windows Defender che usa l’intelligenza basata sul cloud per bloccare applicazioni, file e siti potenzialmente dannosi.
Nel caso in questione, in assenza dell’aggiornamento correttivo, un aggressore può scavalcare i controlli esercitati da SmartScreen e indirizzare le vittime verso siti Web malevoli.
Infine, la falla CVE-2023-36397 è descritta come una delle più gravi di sempre (valutazione 9,8 su 10 punti, in termini di criticità). Tuttavia, Microsoft spiega che il servizio Windows message queuing deve risultare attivo perché l’attacco possa andare a buon fine. Il problema, che riguarda l’implementazione del protocollo Windows Pragmatic General Multicast (PGM), può portare all’esecuzione di codice arbitrario attraverso la rete. Per verificare se il servizio fosse in esecuzione, basta digitare il comando netstat -an | find "1801"
al prompt di Windows (cmd
).
Una breve disamina delle vulnerabilità risolte questo mese è disponibile, al solito, consultando l’analisi di ISC-SANS.