Primo martedì dell’anno e primo “patch day” Microsoft del 2023. Nell’occasione l’azienda di Redmond ha rilasciato aggiornamenti di sicurezza volti alla correzione di 98 vulnerabilità: 11 di esse sono indicate come a elevata criticità, di una se ne conoscono già i dettagli tecnici e un’altra è sfruttata da parte dei criminali informatici.
La falla di sicurezza più grave che viene risolta a gennaio 2023 è quella scoperta nel componente di Windows chiamato ALPC (Advanced Local Procedure Call) CVE-2023-21674). Può essere sfruttata in ambito locale e, stando a quanto riferisce Microsoft, permette a codice in esecuzione ad esempio nel browser Web di superare i confini della sandbox e utilizzare i privilegi SYSTEM su qualunque versione ed edizione di Windows.
Questo problema di sicurezza è già utilizzato per lanciare attacchi informatici.
L’altra lacuna di sicurezza piuttosto grave che viene risolta riguarda Windows SMB Witness Service (CVE-2023-21549): in questo caso il problema può essere sfruttato attraverso la rete. Si tratta infatti di una falla relativa a un componente che gestisce RPC (Remote Procedure Call) e che può risultare nell’acquisizione di privilegi più elevati.
Sui sistemi vulnerabili, l’aggressore può utilizzare uno script che effettua una chiamata RPC per un host RPC attivando funzioni normalmente appannaggio dei soli account dotati dei diritti amministrativi.
Un’altra vulnerabilità rilevante che i tecnici Microsoft hanno risolto questo mese riguarda i servizi crittografici di Windows (Microsoft Cryptographic Services).
Nel bollettino associato alla falla CVE-2023-21561, l’azienda guidata da Satya Nadella spiega che un aggressore autenticato sul sistema locale può inviare dati modificati ad arte al servizio CSRSS in esecuzione sulla macchina e acquisire così i privilegi SYSTEM senza averne alcun titolo.
Tra le patch Microsoft di gennaio 2023 segnaliamo anche quelle utili a risolvere anche vulnerabilità critiche in SharePoint, nell’implementazione Windows dei protocolli L2TP e SSTP.
Per approfondire, è possibile fare riferimento alla consueta analisi pubblicata da ISC-SANS e al post apparso sul blog di Cisco Talos.
La lista dei bollettini di sicurezza di gennaio 2023 contiene i riferimenti a tutte le vulnerabilità che sono state corrette nei vari software Microsoft.
Con il primo patch day del 2023 termine il supporto esteso di Windows 8.1: già dall’estate 2022 gli utenti di Windows 8.1 avevano iniziato a vedere comparire un messaggio di fine supporto a tutto schermo. Capolinea definitivo anche per il programma ESU di Windows 7: 0patch assicura aggiornamenti di sicurezza per Windows 7 fino al 2025, anche se si tratta di correzioni non ufficiali.