Il Patch Tuesday di Microsoft include la correzione di bug sotto attacco • The Register:

L’imponente Patch Tuesday di aprile di Microsoft include un bug che è già stato sfruttato in natura e un secondo che è stato divulgato pubblicamente.

In totale, oggi il gigante di Redmond ha corretto oltre 100 bug, incluse 10 vulnerabilità critiche di esecuzione di codice remoto (RCE).

Primo, però: CVE-2022-24521, che i ricercatori di sicurezza di NSA e CrowdStrike hanno segnalato a Microsoft, è sotto sfruttamento attivo. È una vulnerabilità legata all’elevazione dei privilegi e si verifica nel driver del file system di registro comune di Windows.

Sebbene il suo punteggio di gravità non si classifichi così in alto come alcuni nell’elenco di oggi – ha ricevuto un punteggio CVSS di 7,8 alias “importante” – Microsoft ha dichiarato che la sua complessità di attacco è bassa. Può essere utilizzato da software e utenti non autorizzati per ottenere privilegi a livello di amministratore su una macchina connessa.

Quindi questo, combinato con il fatto che è già attivamente sfruttato, dovrebbe renderlo “in cima alla lista delle priorità di questo mese”, ha affermato Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs. “Dato che si tratta del tipo di vulnerabilità per l’escalation dei privilegi, ciò indicherebbe che un attore di minacce lo sta attualmente utilizzando per aiutare il movimento laterale a capitalizzare un punto d’appoggio preesistente”, ha osservato.

Breen ha anche commentato l’elevato numero di vulnerabilità legate all’escalation dei privilegi che Microsoft ha etichettato come “sfruttamento più probabile”.

“Questo parla della sua crescente popolarità come tecnica, fornendo movimento laterale a obiettivi critici e di alto valore una volta che gli aggressori hanno ottenuto l’accesso iniziale”, ha affermato Breen.

Sebbene CVE-2022-24521 sia stato sfruttato, il suo codice exploit non è pubblico, secondo Microsoft. Il contrario è il caso dell’altro buco nell’escalation dei privilegi CVE-2022-26904, a cui è stato divulgato pubblicamente il suo exploit anche se a quanto pare non si sarebbe ancora verificato alcuno sfruttamento dannoso.

Questo difetto, che si verifica nel servizio profili utente di Windows, ha ricevuto un punteggio di gravità CVSS di 7,0, noto anche come importante, e Microsoft ha classificato la sua complessità di attacco come alta perché “lo sfruttamento riuscito di questa vulnerabilità richiede che un utente malintenzionato vinca una race condition”. Questo potrebbe spiegare perché nessuno l’ha ancora sfruttato. Può essere abusato per aumentare i privilegi di un utente normale.

Dustin Childs di Trend Micro ha notato sul blog Zero Day Initiative che non solo esiste un exploit proof-of-concept per questo bug, ma c’è anche un modulo Metasploit. Quindi la maggior parte del lavoro è già stato fatto per gli aspiranti attaccanti. I requisiti per lo sfruttamento sono un po’ coinvolti.

Alcuni altri bug notevoli di gravità elevata nella patch-a-looza di aprile includono una vulnerabilità RCE del runtime di chiamata di procedura remota (CVE-2022-26809) e due vuln RCE del file system di rete di Windows (CVE-2022-24491 e CVE-2022-24497 ).

Tutti e tre questi bug RCE hanno ricevuto un punteggio CVSS di 9,8, il che significa che sono così gravi come vengono.

CVE-2022-26809, che ha una bassa complessità di attacco, si trova nella funzionalità Server Message Block (SMB) di Microsoft. Per sfruttare questo bug, un utente malintenzionato invierebbe una chiamata di procedura remota (RPC) appositamente predisposta a una macchina host RPC, ha spiegato Microsoft. “Ciò potrebbe comportare l’esecuzione di codice remoto sul lato server con le stesse autorizzazioni del servizio RPC”, ha dettagliato la nota sulla sicurezza. Microsoft ha anche consigliato di bloccare la porta TCP 445 sul firewall perimetrale per prevenire nuovi attacchi provenienti da Internet.

Nel frattempo, anche i due buchi di Windows Network File System (NFS) (CVE-2022-24491 e CVE-2022-24497) hanno ricevuto un CVSS 9.8 e Microsoft ha affermato che lo sfruttamento è “più probabile”.

“Sui sistemi in cui è abilitato il ruolo NFS, un utente malintenzionato potrebbe eseguire il proprio codice su un sistema interessato con privilegi elevati e senza l’interazione dell’utente”, ha osservato Childs. “Ancora una volta, ciò si aggiunge a un bug wormable, almeno tra i server NFS”.

Queste vulnerabilità attirerebbero gli operatori di ransomware perché hanno il potenziale per esporre dati critici, ha aggiunto Breen.

Adobe si unisce alla festa della patch:

Adobe ha anche emesso un sacco di correzioni nel suo evento di patch di aprile.

In totale, ha rilasciato quattro aggiornamenti che risolvono 78 vulnerabilità nei suoi prodotti Acrobat e Reader, Photoshop, After Effects e Adobe Commerce.

La maggior parte di questi si trova in Adobe Acrobat e Reader e risolve 62 vulnerabilità critiche, importanti e moderate su Windows e macOS. Se sfruttati, potrebbero consentire l’esecuzione di codice arbitrario, perdite di memoria, bypass delle funzionalità di sicurezza ed escalation dei privilegi, secondo Adobe.

L’iniziativa Zero Day ha notato che i bug più gravi qui sono le vulnerabilità di scrittura use-after-free () e fuori limite. “Questi potrebbero consentire a un utente malintenzionato di eseguire codice su un sistema di destinazione se riesce a convincere un utente ad aprire un documento PDF appositamente predisposto”, ha scritto Childs.

Google aggiorna Android, Cisco sta ancora combattendo Spring Framework:

Nel frattempo, Google ha corretto 44 vulnerabilità nel suo aggiornamento Android di aprile all’inizio di questo mese.

Il bug più grave del gruppo è un difetto di gravità elevata in Framework che potrebbe consentire a un utente malintenzionato di aumentare i privilegi senza ulteriori privilegi di esecuzione necessari, secondo l’avviso di sicurezza.

Anche oggi Cisco ha aggiornato un avviso di sicurezza che affronta una vulnerabilità critica in Spring Framework. CVE-2022-22965, che ha ricevuto un punteggio di gravità CVSS di 9,8, interessa un lungo elenco di prodotti Cisco, per non parlare di una sfilza di prodotti di altri fornitori che utilizzano Spring Framework open source.

Da quando il vuln Java RCE è stato scoperto per la prima volta il mese scorso, è stata una corsa tra i difensori, che tentavano di riparare i prodotti con bug e gli aggressori che tentavano di sfruttare le falle in detti prodotti e liberare tutti i tipi di malware.

Come ha notato Cisco nel suo aggiornamento di sicurezza: “Il Cisco Product Security Incident Response Team (PSIRT) è consapevole della disponibilità di codice exploit proof-of-concept per la vulnerabilità descritta in questo avviso”. ®:

Leave a Comment