Microsoft ripara 5 zero

Jul 14, 2023

Microsoft ha rilasciato uno dei più grandi aggiornamenti di sicurezza degli ultimi tempi per il Patch Tuesday di luglio, risolvendo 130 nuove vulnerabilità, tra cui cinque zero-day.

Questo mese, gli amministratori dovranno fare i conti con due avvisi, uno zero-day senza patch, il prossimo passo per aggiornare due protocolli di autenticazione chiave e nove CVE ripubblicati. Delle nuove vulnerabilità, nove sono state classificate come critiche. L’enorme numero di vulnerabilità da affrontare, combinato con la complessità di alcune mitigazioni, questo mese metterà alla prova molti dipartimenti IT.

"Ho la sensazione che luglio avrà molti danni collaterali, un grande impatto operativo e molti aggiornamenti differiti per un certo periodo di tempo", ha affermato Chris Goettl, vicepresidente della gestione dei prodotti di sicurezza di Ivanti. "Le aziende dovranno assicurarsi di non aspettare troppo a lungo per applicare le patch, perché si stanno verificando molte esposizioni."

Microsoft ha aggiornato una correzione per un zero-day risolto a maggio per una vulnerabilità di bypass della funzionalità di sicurezza Secure Boot (CVE-2023-24932) considerata importante per Windows Server e sistemi desktop.

La revisione di luglio semplifica la distribuzione dei file per revocare i gestori di avvio del sistema e controllare questa azione tramite il registro eventi. Microsoft ha condiviso le istruzioni per questa distribuzione nel suo articolo KB5025885 e ha invitato i clienti a proseguire per rafforzare la sicurezza dei propri sistemi.

"Questa vulnerabilità ha confermato exploit in circolazione e un punteggio base CVSS di 6,7", ha affermato Goettl. "È considerato importante, ma si consiglia vivamente alle organizzazioni di considerarlo fondamentale."

Una novità per il Patch Tuesday di luglio è uno zero-day di Microsoft Outlook (CVE-2023-35311), ovvero una vulnerabilità di bypass della funzionalità di sicurezza classificata come importante con un punteggio CVSS di 8,8. Un utente malintenzionato potrebbe prendere di mira un utente con un URL appositamente predisposto utilizzando il riquadro di anteprima di Outlook come vettore di attacco, ma l'utente dovrebbe fare clic sul collegamento affinché l'utente malintenzionato possa sfruttare la vulnerabilità.

Un giorno zero per l'esecuzione del codice remoto HTML di Office e Windows (CVE-2023-36884) è considerato importante per le applicazioni Windows Server, desktop e Microsoft Office. Un utente dovrebbe aprire un documento Microsoft Office appositamente predisposto creato da un utente malintenzionato per attivare l'exploit, che consentirebbe all'autore della minaccia di eseguire un'esecuzione di codice remoto nel contesto della vittima.

Al momento della pubblicazione di questo articolo, Microsoft non disponeva di una patch ma ha affermato che i clienti che utilizzano Microsoft Defender per Office sono protetti. La società ha affermato che molti dei suoi altri prodotti di sicurezza, incluso Microsoft Defender Antivirus, possono utilizzare una regola di riduzione della superficie di attacco per bloccare questa minaccia. Per gli amministratori che non utilizzano tali prodotti di sicurezza, Microsoft ha affermato che possono inviare una modifica al registro ai sistemi vulnerabili utilizzando Criteri di gruppo o Configuration Manager.

Goettl ha affermato che le organizzazioni che seguono il principio del privilegio minimo renderanno più difficile per un utente malintenzionato sfruttare questa vulnerabilità poiché dovrebbe trovare un altro modo per elevare il proprio livello di privilegi oltre quello che avrebbe un tipico utente finale.

Un giorno zero di elevazione dei privilegi del servizio Segnalazione errori Windows (CVE-2023-36874) classificato come importante influisce sui sistemi desktop e server Windows. L'aggressore necessita dell'accesso locale al computer di destinazione con autorizzazioni per creare cartelle e tracce delle prestazioni per sfruttare la vulnerabilità e ottenere privilegi di amministratore.

Il prossimo zero-day è una funzionalità di sicurezza di Windows SmartScreen che bypassa la vulnerabilità (CVE-2023-32049) considerata importante per Windows Server e sistemi desktop. Un utente dovrebbe fare clic su un URL appositamente predisposto per attivare l'exploit. Goettl ha affermato che questa vulnerabilità verrebbe tipicamente utilizzata come parte di una catena di attacco per ottenere ulteriore accesso all'infrastruttura dell'organizzazione.

L'ultimo nuovo zero-day è una vulnerabilità di elevazione dei privilegi della piattaforma Windows MSHTML (CVE-2023-32046) considerata importante che colpisce Windows Server e i sistemi desktop. L'aggressore può prendere di mira un utente tramite un file appositamente costruito inviato via email o ospitato su un sito web; se uno dei due metodi ha esito positivo, l'aggressore può ottenere i diritti dell'utente.