Patch Tuesday Microsoft di dicembre: una falla ci riporta alle vulnerabilità del passato

Microsoft ha pubblicato gli aggiornamenti di sicurezza relativi al Patch Tuesday di dicembre 2024. I tecnici di Redmond hanno affrontando vulnerabilità critiche scoperte in diversi servizi Windows. Quella in LSASS riporta alla mente il virus Sasser del 2004.
Michele Nasi
Pubblicato il 11 dic 2024
Patch Tuesday Microsoft di dicembre: una falla ci riporta alle vulnerabilità del passato

Come ogni secondo martedì del mese, Microsoft ha pubblicato una serie di aggiornamenti di sicurezza per Windows e gli altri suoi software. Tra le vulnerabilità oggetto di correzione nel corso dell’ultimo Patch Tuesday del 2024, spicca CVE-2024-49126. Un po’ come faceva il worm Sasser di 20 anni fa, un aggressore remoto può sfruttare una lacuna di sicurezza insita in LSASS (Local Security Authority Subsystem Service), componente responsabile della gestione delle politiche di sicurezza locali e della convalida delle autenticazioni degli utenti, per eseguire codice arbitrario.

Certo, in vent’anni il panorama informatico è cambiato tanto. Nel 2004, infatti, tanti computer Windows erano collegati direttamente a modem e gli utenti purtroppo lasciavano esposte le porte di comunicazione sull’indirizzo IP pubblico. Non è più così da tempo e il firewall SPI (Stateful Packet Inspection) del router offre protezione contro gli attacchi provenienti dall’esterno. Lo stesso utilizzo del NAT (Network Address Translation), sebbene non possa essere considerato come una misura di sicurezza, offre comunque una difesa aggiuntiva.

Nel caso della falla CVE-2024-49126, inoltre, la necessità di vincere una race condition riduce la probabilità di sfruttamento. Le race condition sono errori che si verificano in contesti multithread o in processi paralleli: il successo dell’attacco dipende dal tempismo esatto. Questo fattore rende l’exploit tecnicamente più difficile da realizzare, richiedendo competenze avanzate e strumenti sofisticati.

A rischio i sistemi Active Directory per via di una vulnerabilità in LDAP

Molto più grave, all’atto pratico, è la vulnerabilità CVE-2024-49112. Il problema riguarda in questo caso l’implementazione del protocollo LDAP (Lightweight Directory Access Protocol), cruciale per l’autenticazione e la gestione delle risorse in Active Directory.

Qualsiasi vulnerabilità che permetta l’esecuzione di codice remoto attraverso LDAP rappresenta una minaccia seria, poiché potrebbe consentire a un attaccante di compromettere intere infrastrutture aziendali.

Questo mese, quindi, massima attenzione in ambito aziendale proprio alla gestione delle patch per la vulnerabilità CVE-2024-49112.

Vulnerabilità multiple nei servizi di Desktop remoto

Ben 9 delle 16 vulnerabilità critiche del Patch Tuesday Microsoft di dicembre (CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49119, CVE-2024-49120, CVE-2024-49123, CVE-2024-49132, CVE-2024-49116, CVE-2024-49128) riguardano i servizi di Desktop remoto integrati in Windows. Spiegano i tecnici dell’azienda di Redmond che lo sfruttamento delle problematiche ora risolte potrebbe portare, nei casi più gravi, all’esecuzione di codice in modalità remota.

Vale la pena evidenziare che in ogni caso, indipendentemente dalla severità delle lacune di sicurezza appena venute a galla, non si dovrebbero mai esporre sull’IP pubblico le porte utilizzate dai servizi di Desktop remoto (RDP).

Note finali

Merita una menzione anche la vulnerabilità CVE-2024-49138 che interessa il componente di sistema chiamato Windows Common Log File System Driver. Si tratta di un oggetto software fondamentale in Windows, progettato per gestire i file di registro comuni (Common Log Files).

Il driver consente la creazione e la gestione di log strutturati in modo efficiente, che possono essere utilizzati da applicazioni e componenti del sistema per memorizzare dati relativi a eventi, errori, transazioni o altre informazioni necessarie per il monitoraggio e il debugging.

Il problema principale è che in questo caso la falla di sicurezza è già utilizzata dai criminali informatici per condurre attacchi reali e acquisire privilegi più elevati.

Come al solito, suggeriamo di verificare la lista dei problemi di sicurezza corretti consultando la tabella elaborata da ISC-SANS. È sempre poi bene lasciare trascorrere qualche giorno prima di applicare gli aggiornamenti, a meno che le patch non correggano problemi relativi a servizi esposti sulla rete o in qualche modo raggiungibili anche da soggetti o codice non autorizzati.

In un altro articolo abbiamo visto cosa succede davvero se non si installano gli aggiornamenti Microsoft.

Ti consigliamo anche

Claude e altri modelli AI a rischio attacchi prompt injection?
Vulnerabilità

Claude e altri modelli AI a rischio attacchi prompt injection?
Telegram invaso dalle truffe phishing: i consigli per non caderci
Applicativi

Telegram invaso dalle truffe phishing: i consigli per non caderci
La minaccia arriva dalle schede SD Express: cos'è l'attacco DaMAgeCard
Storage

La minaccia arriva dalle schede SD Express: cos'è l'attacco DaMAgeCard
Booking: bug consente a estranei di dare un'occhiata ai tuoi viaggi
Vulnerabilità

Booking: bug consente a estranei di dare un'occhiata ai tuoi viaggi
Link copiato negli appunti