Come accade il secondo martedì di ogni mese, anche ad agosto Microsoft ha rilasciato nuovi aggiornamenti di sicurezza per Windows e per gli altri suoi software. Questa volta le patch Microsoft risolvono 88 vulnerabilità: 6 di esse sono indicate come ad elevata criticità, 2 sono già sfruttate dagli aggressori per attaccare i sistemi di aziende, professionisti e utenti privati.
Le patch Microsoft più importanti di agosto 2023: Teams, Message Queueing e Word
Una coppia di falle di sicurezza particolarmente gravi sono state scoperte e risolte in Microsoft Teams, la nota piattaforma per la collaborazione, la produttività e la messaggistica. I problemi contrassegnati dagli identificativi CVE-2023-29328 and CVE-2023-29330 possono essere eventualmente sfruttati da parte di aggressori remoti per eseguire codice arbitrario sui sistemi delle vittime. L’aggressore deve solamente esortare l’utente a partecipare a una riunione Teams appositamente predisposta.
Ulteriori tre bug di sicurezza, che possono favorire l’esecuzione di codice da remoto, riguardano il servizio di sistema Microsoft Message Queuing in Windows 10, Windows 11 e Windows Server.
In ascolto sulla porta 1801, Message Queuing è un servizio di messaggistica asincrona che consente alle applicazioni di comunicare tra loro in modo affidabile e scalabile, anche quando le applicazioni non sono disponibili contemporaneamente. È ampiamente utilizzato nelle infrastrutture aziendali per la messaggistica tra applicazioni distribuite e per la gestione dei flussi di lavoro.
La buona notizia è che per sfruttare le problematiche di sicurezza CVE-2023-35385, CVE-2023-36910 e CVE-2023-36911, il servizio Message Queueing deve risultato abilitato sul sistema: per impostazione predefinita, non lo è.
Dopo aver digitato cmd
nella casella di ricerca di Windows e scelto la voce Esegui come amministratore, suggeriamo di digitare il comando seguente:
netstat -an | findstr :1801
L’assenza di qualunque risposta sta a significare che il servizio vulnerabile non è in esecuzione in Windows. Diversamente, se si ottenesse conferma della presenza della porta 1801 in ascolto sulla macchina, è opportuno procedere quanto prima con l’installazione delle patch Microsoft.
Un’altra vulnerabilità piuttosto seria è quella contraddistinta dall’identificativo CVE-2023-36895: interessa gli utenti di Microsoft Word e potrebbe essere fattivamente utilizzata per eseguire codice potenzialmente dannoso in modalità remota.
Falla Denial of Service già sfruttata da parte dei criminali informatici
Come conferma Microsoft, inoltre, il framework .NET e Visual Studio soffrono di una vulnerabilità Denial of Service (DoS), CVE-2023-38180. È possibile far leva su di essa attraverso la rete con un attacco informatico a bassa complessità. Per questo motivo l’azienda guidata da Satya Nadella suggerisce di scaricare e installare quanto prima l’aggiornamento correttivo.
Insieme con il problema legato a Microsoft Office, discusso nel paragrafo successivo, la falla CVE-2023-38180 è l’unica – almeno per quanto riguarda gli aggiornamenti di agosto 2023 – a essere attivamente sfruttata dai criminali informatici.
Per adesso, Microsoft è piuttosto avara di dettagli. Un attacco DoS, comunque, è un tipo di aggressione informatica che mira a rendere un’applicazione, un servizio o un sistema inaccessibile agli utenti, impedendo loro di accedere o utilizzare i servizi offerti. L’obiettivo principale di un attacco DoS è quello di sovraccaricare il sistema, in modo tale che non sia in grado di rispondere alle richieste legittime.
Il fatto che il problema di sicurezza coinvolga sia .NET che Visual Studio, sta a significare che un aggressore remoto può rendere temporaneamente indisponibili non solo l’ambiente di sviluppo Microsoft (IDE) ma le applicazioni Web esposte in rete.
Finalmente risolto un grave problema di sicurezza in Microsoft Office
Ad agosto 2023, Microsoft ha rilasciato anche il pacchetto Microsoft Office Defense in Depth Update (ADV230003), appositamente sviluppato per migliorare le difese della suite Office. L’azienda di Redmond scrive nel bollettino di sicurezza che l’aggiornamento ADV230003 non è di per sé una patch correttiva. Purtuttavia, procedendo con l’installazione il risultato è che il sistema risulta finalmente protetto dagli attacchi che cercano di sfruttare la falla CVE-2023-36884.
A luglio 2023, infatti, Microsoft non aveva risolto il problema in via definitiva ma si era limitata soltanto a proporre alcune soluzioni temporanee. Nel frattempo, come dimostrano gli attacchi posti in essere dal gruppo di criminali informatici noti con il nome di RomCom, il bug è stato ripetutamente sfruttato per colpire obiettivi di elevato profilo.
Le altre vulnerabilità risolvibili con le patch Microsoft di agosto
Tra le altre problematiche di sicurezza che Microsoft ha corretto questo mese ci sono quattro vulnerabilità di Exchange che possono essere sfruttate da remoto avviando una sessione PowerShell a distanza: CVE-2023-35388, CVE-2023-35368, CVE-2023-38182 e CVE-2023-38185.
Un aggressore può tuttavia approfittare dei vari bug di sicurezza soltanto se in possesso di credenziali per l’accesso alla LAN e di un account Exchange altrettanto valido.
Ci sono poi le “solite” patch che correggono problemi legati alla possibilità di acquisire privilegi utente più elevati partendo da un account dotato di diritti limitati. In particolare, le falle CVE-2023-35359, CVE-2023-35380, CVE-2023-35382 e CVE-2023-35386 portano l’attaccante ad impossessarsi dei privilegi SYSTEM sulla macchina della vittima.
Anche la vulnerabilità CVE-2023-36900, scoperta nel componente di sistema Windows Common Log File System Driver facilita a sua volta l’acquisizione dei privilegi SYSTEM. Anche in questo caso, tuttavia, l’aggressore deve essersi precedentemente “loggato” sulla macchina utilizzando un account utente standard.
Consultando il report pubblicato da ISC-SANS è possibile accedere alla lista completa delle patch Microsoft distribuite ad agosto 2023.