Dopo aver festeggiato, a novembre 2023, i primi 20 anni di Patch Tuesday, Microsoft conclude l’anno con una “carrellata” di aggiornamenti di sicurezza destinati alla risoluzione di 33 vulnerabilità. Quello odierno è il Patch Tuesday dell’azienda di Redmond più leggero da quattro anni a questa parte tanto che non c’è neppure una problematica ad essere stata precedentemente oggetto di aggressione e sfruttamento (zero-day).
Dalla lista degli aggiornamenti documentati sul sito di ISC-SANS, vale comunque la pena estrarre quattro patch di particolare rilevanza: tre sono aggiornamenti indicati da Microsoft come “critici”, uno come “importante”.
Microsoft Patch Tuesday di dicembre 2023: quali sono le vulnerabilità di sicurezza critiche
Tra le lacune di sicurezza risolte dai tecnici Microsoft due (CVE-2023-35630 e CVE-2023-35641) riguardano il servizio di Condivisione connessione Internet (ICS) su Windows 10, Windows 11 e Windows Server. Un utente malintenzionato potrebbe sfruttare le vulnerabilità in questione per eseguire codice nocivo sul computer preso di mira modificando una particolare opzione nei messaggi DHCPv6 scambiati tra i dispositivi. Il problema, tuttavia, è limitato ai sistemi collegati allo stesso segmento di rete cui è collegato l’aggressore.
Motore di rendering MSHTML protagonista di una vulnerabilità critica
Un’altra vulnerabilità critica legata all’esecuzione di codice in modalità remota è la CVE-2023-35628: in questo caso, il componente affetto dalla problematica è il ben noto MSHTML, che fino a qualche tempo fa era il motore di rendering predefinito di Internet Explorer ed Edge, prima che Microsoft abbracciasse il codice di Chromium. MSHTML è comunque presente “dietro le quinte” e la falla di sicurezza in questione potrebbe essere sfruttata da un malintenzionato, ad esempio, inviando un’email malevola – opportunamente strutturata – verso un client Microsoft Outlook vulnerabile. La lacuna potrebbe attivarsi prima ancora che l’utente apra l’email nel riquadro di anteprima.
Nuovi attacchi a NTLM e Windows Media
Rilevante è anche la vulnerabilità identificata come CVE-2023-35636: questa volta incentrata nello specifico su Outlook, potrebbe portare all’esposizione di hash NTLM ovvero delle password degli account utente in formato hashed.
Microsoft sta da tempo lavorando per mitigare gli attacchi a NTLM, ovvero al protocollo di comunicazione storicamente utilizzato nei sistemi operativi Windows. Anzi, Microsoft sta puntando tanto anche su un nuovo sistema di autenticazione Kerberos per superare NTLM, anche sui sistemi client e quindi non soltanto lato server.
Windows Media contiene inoltre una vulnerabilità legata all’esecuzione di codice in modalità remota che può attivarsi quando l’utente dovesse aprire un file appositamente predisposto. La falla CVE-2023-21740 è considerata facile da sfruttare anche perché l’attivazione del codice malevolo potrebbe iniziare con un semplice doppio clic o con l’apertura di un elemento dannoso mediante Windows Media Player.