Come ogni secondo martedì del mese, Microsoft ha pubblicato una serie di aggiornamenti di sicurezza destinati ai prodotti software. Le correzioni rilasciate nel patch day di febbraio 2023 risolvono complessivamente 80 vulnerabilità; 9 di esse sono indicate dall’azienda di Redmond ad elevata criticità.
Tre lacune di sicurezza, sanabili mediante l’installazione delle patch corrispondenti, sono già sfruttate dai criminali informatici.
La prima falla (CVE-2023-23376) riguarda il sottosistema Common Log File System deputato alla creazione di registri delle transazioni in corso sul sistema. Sfruttando una lacuna di sicurezza, gli aggressori possono acquisire i privilegi SYSTEM in ambito locale, sul singolo sistema vulnerabile.
Anche la vulnerabilità CVE-2023-21823, scoperta nei componenti grafici di Windows, viene già utilizzata per acquisire i diritti SYSTEM. In questo caso, come precisa Microsoft, l’aggiornamento arriva tramite Microsoft Store e non attraverso Windows Update.
C’è poi un problema di sicurezza di Microsoft Publisher (CVE-2023-21715) che permette agli aggressori di eseguire macro potenzialmente dannose superando la policy che dovrebbe invece bloccare il caricamento di questi elementi.
Nello specifico la falla consente di aggirare il criterio Mark of the Web (MoTW) che di solito blocca l’esecuzione delle macro contenute nei documenti provenienti dalla rete Internet.
Le vulnerabilità più pericolose di questo mese, almeno stando a quanto riferisce Microsoft, sono però CVE-2023-23376, CVE-2023-21690 e CVE-2023-21692.
Riguardano l’implementazione del protocollo Protected Extensible Authentication Protocol (PEAP) usato per la gestione delle connessioni wireless e dei collegamenti punto-punto. In qualità di utente autenticato, un aggressore può tentare di attivare codice dannoso nel contesto dell’account tramite una chiamata di rete. Quasi tutte le versioni di Windows sono vulnerabili, incluso Windows 11.
Secondo Microsoft le altre vulnerabilità critiche hanno meno probabilità di essere sfruttate.
CVE-2023-21716 interessa gli utenti di Word e può portare all’esecuzione di codice arbitrario aprendo un documento malevolo; CVE-2023-21808 interessa gli sviluppatori e può portare all’esecuzioen di codice nocivo attraverso .NET e Visual Studio; CVE-2023-21803 è anch’essa rilevante perché interessa il modo con cui Microsoft iSCSI Discovery Service. In quest’ultimo caso, un aggressore potrebbe essere in grado di inviare una richiesta DHCP dannosa su un sistema a 32 bit e disporre l’esecuzione di codice arbitrario in modalità remota.
Fondamentali per le aziende che usano Microsoft Exchange Server le correzioni per le falle CVE-2023-21529, CVE-2023-21706, CVE-2023-21707 e CVE-2023-21710.
In assenza delle quattro patch di sicurezza, la complessità dell’attacco è bassa sebbene nei primi casi l’aggressore debba essere un utente autenticato e nell’ultimo debba usare un account amministrativo.
La lista completa degli aggiornamenti che Microsoft ha reso disponibili a febbraio 2023 è disponibile nella consueta analisi elaborata da ISC-SANS. È inoltre possibile approfondire con la lettura della nota pubblicata da Cisco Talos.