In occasione del Patch Tuesday di maggio 2023, Microsoft ha rilasciato gli aggiornamenti di sicurezza volti alla risoluzione di 49 vulnerabilità, 6 delle quali indicate come a elevata criticità e 2 già sfruttate dai criminali informatici.
La prima bella notizia è che Microsoft ha finalmente modernizzato la pagina delle note di rilascio degli aggiornamenti distribuiti ogni secondo martedì del mese: la pagina May 2023 Security Updates è finalmente contraddistinta da un layout “umano” e riassume, in modo chiaro e facilmente leggibile, le caratteristiche di ogni singolo aggiornamento: il componente software che viene messo in sicurezza, il corrispondente identificativo CVE, la valutazione della gravità di ogni falla di sicurezza, il CVSS Vector ovvero la stringa di testo che descrive le caratteristiche tecniche di una vulnerabilità (complessità, impatto e base di attacco), la possibilità che la problematica possa essere fattivamente sfruttata, i riferimenti alla disponibilità di FAQ nel bollettino e di strumenti per attenuare la vulnerabilità senza l’applicazione della patch.
Tra le vulnerabilità più critiche c’è quella contraddistinta con l’identificativo CVE-2023-29336 (Win32k Elevation of Privilege Vulnerability) che può essere utilizzato in Windows, in ambito locale, per acquisire privilegi utente più elevati.
La patch a correzione della falla CVE-2023-24932 risolve invece un grave problema di sicurezza scoperto nella funzionalità Secure Boot e già sfruttato dal bootkit UEFI BlackLotus per andare automaticamente in esecuzione all’avvio del sistema.
La vulnerabilità in questione consente a un utente malintenzionato di eseguire codice autofirmato a livello di UEFI, anche quando Secure Boot risulta correttamente abilitato sulla macchina. Tutti i sistemi Windows in cui sono abilitate le protezioni Secure Boot sono interessati dal bug adesso ufficialmente corretto dai tecnici Microsoft, inclusi i dispositivi locali, le macchine virtuali e i dispositivi basati sul cloud.
Rilevante anche il problema di sicurezza CVE-2023-24941 di tipo RCE (Remote Code Execution) che, se sfruttato da un malintenzionato, può portare all’esecuzione di codice dannoso sulla macchina della vittima. Come già più volte accaduto in passato, il problema è collegato con il file system NFS (Network File System) e può essere utilizzato per eseguire codice arbitrario effettuando una chiamata di rete non autenticata. Il file system NFS non è attivo in modo predefinito: sono quindi vulnerabili solamente i sistemi ove esso è effettivamente abilitato.
Un’altra vulnerabilità a elevata criticità è quella che interessa l’implementazione del protocollo Windows Lightweight Directory Access Protocol (LDAP) (CVE-2023-28283). In questo caso, un utente malintenzionato non autenticato che fa leva su questa nuova vulnerabilità può arrivare a eseguire codice arbitrario (RCE) servendosi di un insieme di chiamate LDAP “ad hoc”. La complessità dell’attacco, tuttavia, è elevata: l’aggressore dovrebbe riuscire a vincere una race condition.
Nella sicurezza informatica, una race condition si verifica quando due o più processi o thread tentano di accedere contemporaneamente alla stessa risorsa condivisa. Se questi processi non sono gestiti in modo adeguato, potrebbe verificarsi una situazione di competizione in cui il risultato finale dipende dall’ordine in cui questi processi eseguono le loro azioni.
Vincere una race condition significa sfruttare questa competizione in modo malevolo per ottenere un vantaggio: l’attaccante può eseguire una funzione critica del sistema prima che un processo legittimo lo faccia, guadagnando così l’accesso privilegiato al sistema.
Assolutamente rilevante è anche la falla CVE-2023-29325 che è stata scoperta nel componente di sistema Windows OLE: in questo caso l’aggressore può eseguire codice in modalità remota semplicemente persuadendo la vittima ad aprire un’email dannosa appositamente predisposta. La vulnerabilità può anche attivarsi se l’utente visualizza il contenuto dell’email nel riquadro di anteprima.
Vista la presenza del vecchio motore di rendering MSHTML in Windows, comprese le versioni più recenti, la falla CVE-2023-29324 può essere eventualmente utilizzata, magari in combinazione con altre vulnerabilità, per ottenere privilegi amministrativi sul sistema bersaglio. È tuttavia più difficile da sfruttare secondo Microsoft risposto ad altri problemi di sicurezza risolti questo mese perché l’aggressore deve intraprendere azioni aggiuntive per preparare l’ambiente destinazione dell’attacco.
La lista completa delle vulnerabilità sanate da Microsoft a maggio 2023 è disponibile, come sempre, nella scheda di ISC-SANS. Suggeriamo di approfondire anche con la lettura dell’analisi preparata dai ricercatori di Cisco Talos.