Patch Microsoft di ferragosto: vulnerabilità consente attacchi via Internet (TCP/IP)

In un periodo dell’anno che, storicamente, rappresenta un momento di sospensione delle attività lavorative per molti professionisti e realtà aziendali, Microsoft pubblica una serie di aggiornamenti di sicurezza che vanno a sanare vulnerabilità piuttosto critiche. Durante il Patch Tuesday di agosto 2024, Microsoft ha rilasciato correzioni per 92 vulnerabilità. Di queste 9 sono critiche e 9 sono zero-day ovvero lacune di sicurezza già conosciute o sfruttate dai criminali informatici prima del rilascio della patch ufficiale.

La vulnerabilità più critica: possibili attacchi da remoto attraverso lo stack TCP/IP di Windows

A destare grave preoccupazione è la vulnerabilità contraddistinta con l’identificativo CVE-2024-38063. Può essere sfruttata da malintenzionati non autenticati per eseguire codice dannoso, in modalità remota, su qualunque sistema Windows vulnerabile. Interessate dalla problematica sono, purtroppo, tutte le versioni ed edizioni di Windows, compresi i sistemi Windows 10, Windows 11 e Windows Server.

L’attacco si concretizza attraverso la rete, sfruttando un problema nell’implementazione Windows dello stack TCP/IP. Nello specifico, un aggressore può sfruttare il bug adesso corretto da Microsoft inviando ripetutamente dei pacchetti IPv6 verso le macchine Windows vulnerabili, disponendo così l’esecuzione di codice arbitrario.

I sistemi Windows che non usano IPv6 non sono soggetti alla vulnerabilità ma, considerando che l’utilizzo dello spazio di indirizzamento più ampio è abilitato per default, il numero delle macchine interessate dalla problematica risulta evidentemente elevatissimo.

Gli attacchi informatici che sfruttano la vulnerabilità CVE-2024-38063 sono definiti zero-click perché l’aggressione avviene senza la necessità di alcun tipo di interazione da parte degli utenti.

Una tempestiva installazione della patch Microsoft a correzione della vulnerabilità è quindi a questo punto caldamente consigliata, soprattutto negli ambienti aziendali e sui sistemi Windows Server esposti in rete.

Le altre vulnerabilità critiche risolte nel corso del patch day di agosto 2024

Tra altre altre lacune di sicurezza corrette da Microsoft ad agosto 2024, ce ne sono alcune che possono essere attivamente sfruttate per acquisire i permessi SYSTEM in Windows, partendo da un account utente dotato di privilegi limitati. Si tratta delle vulnerabilità CVE-2024-38184, CVE-2024-38185, CVE-2024-38186 e CVE-2024-38187.

Tre vulnerabilità a elevata criticità che possono avere come conseguenza l’esecuzione di codice dannoso in modalità remota sono quelle contraddistinte con gli identificativi CVE-2024-38159, CVE-2024-38160 e CVE-2024-38140. Le prime due sono presenti nel componente Windows Network Virtualization, la terza nel Windows Reliable Multicast Transport Driver.

Di rilievo anche le vulnerabilità CVE-2024-38178 e CVE-2024-38193: la prima, relativa al Microsoft Scripting Engine, può consentire la corruzione del contenuto della memoria mentre la seconda facilita l’acquisizione di privilegi più elevati a partire dal Windows Ancillary Function Driver.

Con l’aggiornamento per la falla CVE-2024-21302, Microsoft intende invece arginare il downgrade attack che permette di annullare l’effetto delle patch di sicurezza applicate con Windows Update.

È possibile accedere all’elenco completo degli aggiornamenti Microsoft di agosto 2024 facendo riferimento alla consueta analisi di ISC-SANS.