Per la prima volta da quattro mesi, nessuna delle vulnerabilità risolte da Microsoft nel corso del patch day odierno risulta già sfruttata da parte dei criminali informatici. In altre parole, non ci sono zero day tra le falle di sicurezza sanate dall’azienda di Redmond a giugno 2023.
Complessivamente, inoltre, i pacchetti di aggiornamento che Microsoft ha appena distribuito attraverso Windows Update e gli altri canali, configurano il patch day di questo mese come uno dei più leggeri di sempre, sia per numero di problemi corretti che di gravità degli stessi.
Le vulnerabilità più critiche riguardano Windows PGM
Non mancano comunque alcune vulnerabilità critiche. Gli aggiornamenti CVE-2023-29363 , CVE-2023-32014 e CVE-2023-32015, per esempio, meritano particolare attenzione perché possono portare all’esecuzione di codice in modalità remota sui sistemi sprovvisti delle patch appena distribuite. Il componente di Windows che necessita di correzione si chiama Pragmatic General Multicast (PGM).
Si tratta di un protocollo di rete sviluppato da Microsoft che consente la trasmissione di dati in multicast su reti IP. È progettato per fornire una soluzione efficiente e scalabile per la trasmissione di dati in tempo reale, come lo streaming multimediale, le applicazioni di gioco online e le applicazioni di collaborazione in tempo reale.
PGM si basa sul protocollo IP multicast, che consente di inviare un singolo flusso di dati a un gruppo di destinatari su una rete IP. I principali obiettivi di PGM sono la consegna affidabile dei dati, la corretta gestione della perdita di pacchetti, dei ritardi e la scalabilità su reti di grandi dimensioni. Con l’avvento di nuove e migliori tecnologie per lo streaming, l’uso di PGM è diminuito nel tempo.
Nel caso di specie, un aggressore può inviare sulla rete un file appositamente predisposto ed eseguire codice dannoso a distanza. Il problema è insito nel servizio Windows message queuing del sistema operativo, che deve essere abilitato affinché un aggressore possa far leva sui vari bug di sicurezza adesso corretti dai tecnici Microsoft.
Controllare la presenza del servizio vulnerabile in Windows
Dopo aver digitato cmd
nella casella di ricerca di Windows e scelto la voce Esegui come amministratore, suggeriamo di digitare il comando seguente:
netstat -an | findstr :1801
L’assenza di qualunque risposta sta a significare che il servizio vulnerabile non è in esecuzione in Windows. Diversamente, se si ottenesse conferma della presenza della porta 1801 in ascolto sulla macchina, è opportuno procedere quanto prima con l’installazione delle patch Microsoft.
Vulnerabilità gravi in SharePoint, Hyper-V ed Exchange
Lato utenti business, ancora una volta va rimarcata la presenza di una grave lacuna di sicurezza in Microsoft SharePoint Server. Facendo leva sulla falla CVE-2023-29357, un aggressore può acquisire privilegi più elevati ottenendo, senza averne titolo, i diritti di amministratore. L’attaccante non ha bisogno di alcuna interazione da parte delle vittime; inoltre, la falla è particolarmente rilevante perché può essere sfruttata attraverso la rete.
Quanto ad Hyper-V, utilizzando le problematiche risolvibili attraverso l’applicazione della patch riferita alla vulnerabilità CVE-2023-32013, un aggressore remoto può lanciare un attacco Denial of Service (DoS) interrompendo il normale funzionamento delle macchine virtuali.
Tra gli altri aggiornamenti più importanti, gli esperti di Cisco Talos accendono un faro su CVE-2023-28310. In questo caso, un aggressore autenticato sulla stessa Intranet del server Microsoft Exchange vulnerabile può attivare l’esecuzione di codice arbitrario tramite una sessione remota di PowerShell.
Il problema contraddistinto con l’identificativo CVE-2023-32031 riguarda sempre Exchange: un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe prendere di mira gli account del server per l’esecuzione di codice in modalità remota.
Come ogni mese, è possibile fare riferimento all’analisi pubblicata sul sito di SANS – Internet Storm Center. È così possibile ottenere anche l’elenco completo degli aggiornamenti di sicurezza rilasciati dai tecnici Microsoft.