Le vulnerabilità zero-day (o 0-day) sono falle di sicurezza sfruttate dagli aggressori per lanciare attacchi informatici, prima ancora che il produttore del software sia a conoscenza del problema di sicurezza e si attivi per risolverlo. La denominazione zero-day si riferisce al fatto che non c’è alcun periodo di tempo (zero giorni) tra la scoperta della vulnerabilità e l’effettivo utilizzo da parte degli utenti malintenzionati. In generale, le falle zero-day riguardano problemi di sicurezza per i quali non è disponibile una patch correttiva. Il Microsoft Patch Tuesday di ottobre 2023 si preannuncia piuttosto importante proprio per via del rilascio degli aggiornamenti di sicurezza utili per sanare ben 3 vulnerabilità zero-day.
Le vulnerabilità zero-day corrette con il Microsoft Patch Tuesday di ottobre 2023
La prima e più impattante correzione di sicurezza che Microsoft ha rilasciato nel corso del patch day di questo mese è quella legata al contenimento degli attacchi DDoS che sfruttano la falla HTTP/2 Rapid Reset. Com’è facile immaginare, l’azienda di Redmond sta intervenendo su tutti i suoi software che possono inviare e ricevere pacchetti dati in rete utilizzando il comune e attualissimo protocollo HTTP/2.
Così, l’aggiornamento di sicurezza CVE-2023-44487, come si può verificare nel bollettino ufficiale, interessa la totalità dei sistemi operativi Microsoft (client e server) ma anche software come IIS (Internet Information Services) e .NET.
Nella nota pubblicata a margine della distribuzione dell’aggiornamento, Microsoft spiega che la patch va installata quanto prima su server Web e proxy. Inoltre, l’azienda di Redmond suggerisce di Azure Web Application Firewall (WAF) su Azure Front Door o Azure Application Gateway. L’azienda consiglia inoltre di limitare l’accesso a Internet alle proprie applicazioni Web quando possibile.
Le patch critiche per Wordpad, Skype for Business e L2TP (VPN)
Un’altra falla di sicurezza piuttosto rilevante è quella contraddistinta con l’identificativo CVE-2023-36563: riguarda Wordpad e può essere sfruttata dagli aggressori per avviare una connessione SMB e sottrarre le credenziali degli utenti in formato hashed. In particolare, gli aggressori remoti possono venire a conoscenza degli hash NTLM.
Infine, la terza problematica di particolare rilevanza riguarda Skype for Business: CVE-2023-41763, se sfruttata su un sistema sprovvisto della patch Microsoft, consente a un attaccante di dirottare l’esito di una richiesta HTTP verso un indirizzo arbitrario. Questo schema di aggressione consente a un soggetto terzo di conoscere indirizzo IP reale dell’utente Skype e la lista delle porte di comunicazione aperte sul suo sistema.
A parte quelle sin qui indicate, le altre patch di questo mese sembrano di importanza nettamente inferiore. Fatta eccezione per l'”infornata” di correzioni relative all’implementazione Windows del protocollo L2TP (Layer 2 Tunneling Protocol), per la creazione di reti VPN. Considerato meno sicuro, L2TP dovrebbe essere in ogni caso accantonato per utilizzare protocolli VPN più moderni e affidabili, a tutela dei propri dati e delle informazioni in transito.
L’elenco completo delle patch Microsoft di ottobre 2023 è disponibile, come sempre, nella consueta analisi a cura di ISC-SANS.