Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day

Gli zero-day (0-day) sono vulnerabilità informatiche sconosciute sia agli sviluppatori del software sia agli utenti, ma già note o sfruttate da malintenzionati. Il termine zero-day si riferisce al fatto che, dal momento in cui viene scoperto un problema di sicurezza, lo sviluppatore ha “zero giorni” per risolverlo proprio perché già noto agli aggressori. Nel corso del Patch Tuesday di novembre 2024, Microsoft ha risolto ben 4 zero-day nei suoi prodotti software. Ecco quali sono e perché è importante installare rapidamente le patch correttive.

Furto delle password Windows degli utenti utilizzando l’hash NTLM

Un aggressore che invia un file malevolo a un utente, può facilmente impossessarsi dell’hash NTLM altrui. Questo significa che sui sistemi Windows in cui le password degli account utente sono protette con la suite di protocolli NTLM (NT LAN Manager), che Microsoft sta “pensionando” in favore del più sicuro Kerberos, un aggressore può autenticarsi su un sistema senza conoscere la password corretta. L’attacco, che si chiama pass-the-hash, si concretizza rubando l’hash delle password quindi assumendo l’identità altrui.

Con l’aggiornamento correttivo per la falla CVE-2024-43451, Microsoft evita che un aggressore possa entrare in possesso degli hash NTLM semplicemente inviando un file alla vittima.

In assenza della patch rilasciata a novembre 2024, l’utente potrebbe trasferire i suoi hash NTLM selezionando il file ricevuto (singolo clic) o cliccandovi con il tasto destro.

Microsoft non lo specifica chiaramente, ma quanto descritto nel bollettino fa il paio con una vulnerabilità nella gestione dei temi di Windows che espone gli hash NTLM.

Acquisizione di privilegi più elevati con l’Utilità di pianificazione

L’Utilità di pianificazione Windows è comunemente utilizzata dal sistema operativo, dalle applicazioni Microsoft e dai programmi di terze parti per configurare l’esecuzione automatica di certe operazioni. Un gruppo di ricercatori ha tuttavia scoperto che la funzionalità di sistema deputata all’esecuzione di comandi e applicazioni in modo programmatico, può essere sfruttata per acquisire privilegi più elevati.

Secondo gli ingegneri Microsoft, un aggressore che riuscisse a far leva sulla vulnerabilità insita nell’Utilità di pianificazione (CVE-2024-49039), potrebbe eseguire funzioni RPC (Remote Procedure Call) normalmente limitate ai soli account dotati dei necessari diritti.

Le RPC rappresentano le fondamenta di una tecnologia Windows di comunicazione inter-processo che consente a un programma di richiedere l’esecuzione di una funzione o di un servizio su un altro computer o processo.

Vulnerabilità in Exchange Server ed Active Directory

Particolarmente rilevante in ambito business è la vulnerabilità CVE-2024-49040 scoperta in Microsoft Exchange Server. In questo caso, l’attaccante può falsificare il mittente delle email inviate a destinatari locali, riuscendo a dare autorevolezza a comunicazioni che in realtà sono completamente fasulle.

Dopo l’installazione della patch correttiva, i messaggi di posta saranno indicati come sospetti, invitando il destinatario a porre massima attenzione sul loro contenuto e invitando a non aprire gli allegati.

Negli ambienti aziendali in cui si fa uso di Active Directory, utenti malintenzionati potrebbero abusare del sistema di gestione integrato dei certificati digitali per acquisire privilegi più elevati. In questo caso l’attacco può avvenire generando un file CSR (Certificate Signing Request) poi gestito da Active Directory in maniera inadeguata. Al problema di sicurezza è stato assegnato l’identificativo CVE-2024-49019.

Problemi di sicurezza critici anche in Windows Kerberos e in Hyper-V

Sebbene non facciano parte della serie di vulnerabilità ormai “ex zero-day” perché non note né sfruttate pubblicamente, CVE-2024-43639 e CVE-2024-43625 meritano certamente massima attenzione.

Questo mese non c’è infatti solo NTLM nell’occhio del ciclone. Sfruttando una vulnerabilità critica nell’implementazione di Windows Kerberos, un aggressore non autenticato può riuscire ad eseguire codice arbitrario usando un’applicazione appositamente sviluppata. Il potenziale impatto di questa lacuna di sicurezza, sottolinea ancora una volta l’importanza di monitorare i sistemi e proteggerli costantemente da accessi non autorizzati.

La seconda vulnerabilità, se sfruttata, consente a codice dotato di privilegi ridotti, in esecuzione in una macchina Hyper-V, di uscire dai confini della virtual machine e svolgere operazioni arbitrarie sul sottostante sistema host. A complicare la situazione, il fatto che il codice è eseguito con i privilegi SYSTEM sulla macchina host.

È possibile approfondire ulteriormente consultando l’analisi di ISC-SANS che contiene anche la lista completa degli aggiornamenti Microsoft di novembre 2024.