Come ogni secondo martedì del mese, Microsoft ha pubblicato una serie di aggiornamenti di sicurezza per Windows e per gli altri suoi software.
Sono complessivamente 79 le vulnerabilità che i tecnici dell’azienda di Redmond hanno corretto: 5 di esse vengono descritte come critiche, 2 erano già note pubblicamente e una è attivamente utilizzata dai criminali informatici per lanciare attacchi.
ISC-SANS pubblica la lista degli aggiornamenti Microsoft di settembre 2022 migliorando l’asettico elenco ufficiale.
La vulnerabilità più seria è certamente quella contraddistinta dall’identificativo CVE-2022-34718: inviando un pacchetto IPv6 predisposto ad arte un aggressore remoto può eseguire codice arbitrario sul sistema Windows vulnerabile.
Stesso leitmotiv per la falla CVE-2022-34721: essa ha a che fare con la gestione dei pacchetti IKEv1 (Internet Key Exchange).
In entrambi i casi i bug di sicurezza sono wormable ovvero possono essere sfruttati a distanza per aggredire i sistemi vulnerabili e diffondere ulteriormente il codice malevolo con l’avvio di successive attività di scansione dalle macchine infette.
L’attacco può tuttavia andare in porto, spiega Microsoft, se e solo se l’insieme di protocolli IPSec risulta abilitato. Com’è noto, IPSec viene ad esempio utilizzato per creare un server VPN in Windows.
Vista l’entità del problema, Microsoft è avara di dettagli e preferisce mantenere riservate le informazioni più tecniche sulle due <strong<falle di sicurezza. Digitando al prompt dei comandi quanto segue è possibile verificare se le porte usate da IPSec risultano aperte:
netstat -na | findstr :50
netstat -na | findstr :51
netstat -na | findstr :500
Allo stesso modo, è possibile effettuare un controllo premendo Windows+R
, digitando mmc
quindi selezionando File, Aggiungi/rimuovi snap in, Monitor di sicurezza IP e infine cliccando su Aggiungi. Se le sezioni Statistiche e Associazioni sicurezza all’interno di Modalità principale e Modalità rapida non restituiscono informazioni, significa che IPSec non risulta in uso.
La vulnerabilità CVE-2022-37969 è già utilizzata dagli aggressori e permette, se lasciata irrisolta, di acquisire i privilegi SYSTEM sfruttando un bug di sicurezza insito nel Windows Common Log File System Driver, sottosistema di logging ampiamente utilizzato a livello di sistema operativo.
Due ulteriori vulnerabilità critiche, CVE-2022-35805 e CVE-2022-34700, riguardano le installazioni on-premise di Microsoft Dynamics 365: in questo caso un aggressore (che deve però essersi autenticato) può eseguire comandi SQL arbitrari con tutto ciò che ne consegue.
Altre vulnerabilità da non sottovalutare coinvolgono il kernel di Windows, le librerie DirectX e altri componenti di sistema. Da non sottovalutare neppure i rischi di attacchi DoS (Denial of Service) che possono prendere di mira Windows Secure Channel ovvero il componente di sistema che tra le altre cose si occupa della gestione delle connessioni sicure con i protocolli SSL/TLS.