Il punto di vista di Akamai sulla Patch Tuesday di luglio 2024
Molti paesi festeggiano il giorno dell'indipendenza a luglio e quale modo migliore per festeggiarla con una raffica di CVE? Nella Patch Tuesday di luglio 2024, sono state rilasciate le patch per 137 vulnerabilità, di cui cinque critiche in Microsoft Sharepoint Server, Windows Remote Desktop Licensing Service e Windows Codecs Library.
Inoltre, una vulnerabilità di elevazione dei privilegi (EoP) in Windows Hyper-V e una vulnerabilità di spoofing nella piattaforma Windows MSHTML sono state segnalate in rete, con una patch per una vulnerabilità in Windows Themes segnalata da un ricercatore di Akamai, Tomer Peled.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità rilevate in rete
CVE-2024-38080 - Windows Hyper-V (CVSS 7.8)
Windows Hyper-V è l'hypervisor nativo di Windows, che consente di ospitare le macchine virtuali (guest) su un unico computer host. La virtualizzazione è molto comune nelle reti aziendali poiché consente di risparmiare sui costi dell'hardware.
Nelle nostre osservazioni, nell'84% degli ambienti erano presenti computer con Hyper-V attivato (host).
La CVE-2024-38080 è una vulnerabilità EoP locale, che consente ai criminali di ottenere i privilegi di sistema dopo uno sfruttamento riuscito. Non è chiaro comunque se la vulnerabilità esiste sui computer host o guest e come viene sfruttata. Microsoft ha indicato che lo sfruttamento di questa vulnerabilità era rilevata in rete.
Rilevamento
Per rilevare gli host Hyper-V, potete utilizzare la seguente osquery:
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
I clienti di Akamai Guardicore Segmentation possono utilizzare la funzionalità Insight per eseguire questa query.
CVE-2024-38112 - Piattaforma MSHTML Windows (CVSS 7.5)
MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.
Sono state rilevate numerose vulnerabilità nella piattaforma MSHTML in passato (incluse alcune individuate dai ricercatori di Akamai), che vengono sfruttate in modo interessante dai criminali a causa della loro capacità di aggirare i meccanismi di difesa e per il fatto di risultare una funzionalità integrata in Windows.
Per un'analisi tecnica della CVE, potete leggere ulteriori informazioni nel blog di Haifei Li.
Vulnerabilità rilevate dai ricercatori di Akamai
CVE-2024-38030 - Windows Themes (CVSS 6.5)
Microsoft Themes è una funzione di Windows, che consente ad un utente di cambiare il modo di visualizzazione di icone o font, tra le altre opzioni disponibili. È una parte integrata di Windows.
Il ricercatore di Akamai Tomer Peled ha trovato una CVE-2024-38030, che viene classificata come vulnerabilità di spoofing con un punteggio CVSS di 6,5. Lo sfruttamento di questa vulnerabilità bypassa la patch per la CVE-2024-21320, che è stata scoperta sempre da Peled.
La patch per la CVE-2024-21320 ha introdotto la funzione PathIsUNC per verificare se un dato percorso in un file di temi è un percorso UNC. Sfortunatamente per Microsoft, James Forshaw ha già descritto un modo per bypassare questa funzione. Riteniamo che questo bypass sia utilizzato per la prima volta per sfruttare le funzioni di Windows.
Windows Remote Desktop Licensing Service
Windows Remote Desktop Licensing Service viene utilizzato come parte dell'implementazione di Windows Remote Desktop Services (RDS). RDS è una soluzione di virtualizzazione che consente di implementare e gestire i desktop remoti virtuali.
Licensing Service viene utilizzato per emettere e gestire le licenze di accesso ai client, che sono richieste per effettuare la connessione ai desktop virtuali generati tramite Desktop Services.
Questo mese, sono state rilevate tre vulnerabilità di esecuzione di codice remoto (RCE) critiche, nonché quattro vulnerabilità DoS (Denial-of-Service) in Windows Remote Desktop Licensing Service.
| Numero CVE | Effetto |
|---|---|
| CVE-2024-38077 | Esecuzione di codice remoto |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | DoS (Denial-of-Service) |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
Mitigazione
Microsoft consiglia di disattivare il servizio se non viene più utilizzato. Poiché un maggior numero di organizzazioni sta passando al cloud, anche l'implementazione di RDS potrebbe essere spostata nel cloud, e il server delle licenze on-premise non è più necessario. Nelle nostre osservazioni, nel 50% degli ambienti era presente un server su cui viene eseguito Remote Desktop Licensing Service (TermServLicensing).
È possibile usare la seguente osquery per rilevare il servizio e il suo stato:
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
Inoltre, Licensing Service è accessibile in rete tramite una chiamata di procedura remota (RPC). In quanto tale, utilizza le porte temporanee e una named pipe (\\pipe\\HydraLsPipe) per la comunicazione, che potrebbe essere difficile da tracciare nel tempo. Potete usare Event Tracing for Windows (ETW) per monitorare il traffico RPC o limitare l'accesso all'interfaccia RPC con i filtri RPC. L'UUID della sua interfaccia è {3d267954-eeb7-11d1-b94e-00c04fa3080d}.
Microsoft Windows Codecs Library
Microsoft Windows Codecs Library è il codec integrato in Windows. I codec vengono utilizzati per codificare e decodificare vari formati multimediali, come immagini, video, audio e font.
Questo mese, è stata rilevata una vulnerabilità critica legata all'esecuzione di codice remoto, la CVE-2024-38060, che, secondo la FAQ corrispondente, viene sfruttata con il caricamento di un'immagine TIFF dannosa su un server. Il codec TIFF fa parte del WIC (Windows Imaging Component) ed è integrato in Windows. Pertanto, influisce su tutte le installazioni di Windows e tutti i programmi su cui viene eseguito che utilizzano il WIC per analizzare le immagini TIFF.
È possibile usare la seguente osquery per rilevare i processi che hanno caricato il DLL della libreria dei codec:
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
Sono state anche segnalate due CVE di divulgazione di informazioni: la CVE-2024-38055 rende vulnerabili parti della memoria del kernel di Windows, mentre la CVE-2024-38056 può rendere vulnerabili parti della memoria heap, presumibilmente dei processi che utilizzano la libreria dei codec.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
| Servizio | Numero CVE | Effetto | Accesso richiesto |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | Esecuzione di codice remoto | Rete, autorizzazioni SiteOwner |
| CVE-2024-38024 | |||
| CVE-2024-32987 | Divulgazione delle informazioni | Rete, autenticazione richiesta | |
| Servizi di crittografia Windows | CVE-2024-30098 | Elusione delle funzioni di sicurezza | Rete, richiede la collisione SHA1 |
| Windows iSCSI | CVE-2024-35270 | DoS (Denial-of-Service) | Rete locale |
| Servizio server DHCP | CVE-2024-38044 | Esecuzione di codice remoto | Rete, richiede specifici privilegi DHCP, presumibilmente dell'amministratore DHCP |
| Microsoft Defender per dispositivi IoT | CVE-2024-38089 | Elevazione dei privilegi | Rete |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.