È ormai già passata una settimana da quando Microsoft ha rilasciato gli aggiornamenti di sicurezza di luglio 2022. Sebbene alcuni esperti consiglino di aspettare ancora qualche giorno prima di procedere con l’installazione delle patch di questo mese, la presenza di alcune vulnerabilità piuttosto pericolose suggerisce di “giocare d’anticipo”.
E neanche tanto d’anticipo visto che una delle falle di sicurezza più pericolose di questo mese, contraddistinta dall’identificativo CVE-2022-22047 è già utilizzata dai criminali informatici per condurre attacchi più o meno mirati.
CISA (Cybersecurity and Infrastructure Security Agency), agenzia governativa statunitense che si occupa di contribuire alla riduzione delle minacce che possono causare problemi ad infrastrutture critiche utilizzate a livello nazionale, ha lanciato l’allerta proprio sulla vulnerabilità CVE-2022-22047 esortando gli enti pubblici ad aggiornare i rispettivi sistemi informatici entro e non oltre il 2 agosto prossimo.
Pur non assegnando un punteggio particolarmente elevato in termini di gravità, Microsoft conferma che la falla CVE-2022-22047 può essere sfruttata per acquisire privilegi SYSTEM su qualunque sistema Windows vulnerabile (leggasi, ove non sia stata applicata la patch correttiva già disponibile). Esposti sono tutti i sistemi: da Windows 7 fino a Windows 11 e Windows Server 2022.
Buona parte dei ricercatori non sono d’accordo con la classificazione di Microsoft: sebbene sfruttare la vulnerabilità in questione sia molto semplice soltanto a livello locale, è possibile combinarla con altri bug per causarne lo sfruttamento da remoto ed eseguire codice arbitrario sulle macchine delle vittime.
La falla zero-day è insita in Windows CSRSS (Client Server Run-Time Subsystem), processo in modalità utente che compone lo strato di base dell’ambiente Windows.
Sempre in Windows CSRSS è stata scoperta e risolta una falla ben più grave (CVE-2022-22026) che però al momento non è ancora sfruttata dai criminali informatici. La lacuna è sostanzialmente sovrapponibile con quella precedente: in questo caso il codice malevolo può superare i confini dell’ambiente isolato chiamato AppContainer.
Rilevante è anche la falla CVE-2022-30216 che però riguarda solo Windows 10, Windows 11 e le più recenti versioni di Windows Server. L’aggressione può essere sferrata attraverso la rete e non richiede alcuna interazione da parte dell’utente.
L’unico requisito, come precisa Microsoft, è l’utilizzo di un certificato digitale che sia stato precedentemente importato sul sistema vulnerabile.
Come le altre vulnerabilità RPC (Remote Procedure Call) anche quella identificata come CVE-2022-22038 non poteva non essere “bollata” come critica da parte di Microsoft e degli esperti di sicurezza.
L’attacco è in questo caso complesso perché richiede che l’aggressore invii continuamente o in modo intermittente dei pacchetti dati con lo scopo di far leva sulla vulnerabilità. È insomma un’aggressione che allo stato attuale appare molto rumorosa.
Non va però presa sotto gamba, così come le diverse vulnerabilità corrette nel Web server Microsoft IIS (Internet Information Services).
Per questi motivi, e in forza del numero limitato di segnalazioni di problemi che sono pervenuti in questi giorni dopo l’installazione degli aggiornamenti, il consiglio è quello di aggiornare quanto prima i vari sistemi Windows, soprattutto quelli maggiormente esposti sulla rete.
L’elenco completo delle patch Microsoft rilasciate a luglio 2022 è disponibile nell’analisi elaborata da ISC-SANS.