Come accade ormai da 20 anni in occasione del Patch Tuesday Microsoft, l’azienda di Redmond ha rilasciato un congruo numero di aggiornamenti di sicurezza per Windows e per un ampio ventaglio di software, destinati sia al mondo consumer che al segmento più spiccatamente business. A febbraio 2024, in occasione del secondo martedì del mese, sono 80 le vulnerabilità che Microsoft ha risolto: 5 di esse sono indicate come “critiche”, almeno 2 già utilizzate dai criminali per sferrare attacchi informatici. Di seguito vediamo quali sono le correzioni più importanti che meritano maggiore attenzione.
Quali sono le patch Microsoft più importanti del mese di febbraio
Cominciamo dalle lacuna di sicurezza sulle quali gli aggressori stanno già facendo leva. Cominciamo con quella che riporta l’identificativo CVE-2024-2142 e che Microsoft presenta come “Internet Shortcut Files Security Feature Bypass Vulnerability“.
In questo caso l’attaccante invia alla vittima quello che a una prima occhiata sembra un collegamento a un servizio Internet. Avete presente i collegamenti (file .lnk
) che si utilizzano abitualmente in ambiente Windows? Ecco, nel caso di specie l’utente malintenzionato che riuscisse a ottenere un doppio clic sul suo “collegamento malevolo” può indirizzare la vittima verso risorse pericolose, disponendone eventualmente il download automatico. Il tutto superando i controlli di sicurezza normalmente esercitati da Windows.
La seconda falla di sicurezza degna di nota (anch’essa sfruttata dagli aggressori), riguarda ancora una volta Windows SmartScreen ossia la caratteristica capace di bloccare siti, applicazioni e file potenzialmente dannosi. Il problema di sicurezza CVE-2024-21351, se non risolto attraverso l’installazione della patch Microsoft, può consentire a un aggressore di iniettare codice in SmartScreen e riuscire ad eseguire operazioni arbitrarie.
Vulnerabilità anche in Exchange Server e Outlook
A beneficio degli amministratori e degli utenti di Microsoft Exchange Server, richiamiamo l’attenzione anche sul problema CVE-2024-21410. Stando a quanto rivela Microsoft, un aggressore che riuscisse a sfruttare la vulnerabilità potrebbe utilizzare l’hash Net-NTLMv2 di un utente e autenticarsi su Exchange Server impersonando quest’ultimo.
Net-NTLMv2 è un tipo di hash utilizzato nel protocollo di autenticazione NTLMv2 (NT LAN Manager versione 2) ed è appunto utilizzato per verificare l’identità di un utente o di un sistema. Ancora una volta, insomma, si ha a che fare con un esempio di relay attack che Microsoft intende combattere con l’utilizzo di protocolli più robusti, come Kerberos ad esempio.
Un’altra vulnerabilità particolarmente critica riguarda Microsoft Outlook (CVE-2024-21413): un aggressore che la sfruttasse può eseguire codice nocivo sulla macchina della vittima, anche se questi si limitasse a visualizzare l’anteprima del contenuto dell’email, senza aprirla. Il meccanismo di attacco può essere utilizzato anche per sottrarre le credenziali NTLM locali oltre che per l’esecuzione di codice in modalità remota (RCE).
Le altre lacune di sicurezza più importanti
Tra le altre falle di sicurezza che meritano particolare attenzione c’è CVE-2024-21379: riguarda gli utenti di Microsoft Word e può essere innescata su tutti i sistemi che utilizzano il word processor dell’azienda di Redmond semplicemente inducendo la vittima ad aprire un documento preparato “ad arte”. Anche la mera visualizzazione dell’anteprima del file Word può avere come effetto l’esecuzione di codice arbitrario.
L’azienda di Redmond indica come vulnerabili Word 2016, Office LTSC 2021, Microsoft 365 Apps for Enterprise e Office 2019, sia nelle versioni a 64 bit che a 32 bit.
La vulnerabilità CVE-2024-21357, inoltre, appare piuttosto rilevante perché riguarda l’implementazione del protocollo Pragmatic General Multicast (PGM) in Windows. Un aggressore collegato alla stessa rete utilizzata dai sistemi che intende attaccare, potrebbe riuscire a eseguire codice sulle macchine altrui.
Non è possibile tralasciare, infine, la problematica CVE-2024-20684: un utente malintenzionato in possesso dei “titoli” per interagire con un sistema Hyper-V guest potrebbe provocare un attacco DoS (Denial of Service) sull’host e, di conseguenza, “mettere al tappeto” tutte le altre macchina virtuali Hyper-V configurate e in esecuzione sulla medesima macchina.
L’elenco completo delle vulnerabilità risolte da Microsoft questo mese, è disponibile nella consueta disamina di ISC-SANS.