Il punto di vista di Akamai sulla Patch Tuesday di aprile 2024
Buona festa per la fine del Ramadan, buona Pasqua cristiana e buona Pasqua ebraica. Ad aprile ricorrono varie ricorrenze, ma se le CVE sono sorprese, Microsoft è nello spirito pasquale. Nella Patch Tuesday di aprile 2024, su 147 CVE in totale, tre di esse sono risultate vulnerabilità critiche e si trovano in Microsoft Defender per dispositivi IoT. È stata anche trovata una vulnerabilità CVE sfruttata in rete: un certificato Microsoft utilizzato per firmare payload dannosi.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Driver proxy
Sophos X-Ops ha rilevato un payload dannoso firmato con Microsoft Windows Hardware Compatibility Publisher nell'intento di mascherarlo come legittimo. Il team ha segnalato a Microsoft la vulnerabilità CVE-2024-26234 , che è una revoca del certificato interessato, pertanto non verrà più considerato come affidabile.
È possibile cercare payload firmati con la firma interessata tramite Insight. I clienti interessati possono eseguire la query riportata di seguito per verificare la presenza di eventuali processi in corso firmati con il certificato revocato:
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender per dispositivi IoT
Microsoft Defender per dispositivi IoT è una piattaforma di sicurezza che aiuta a difendere i componenti di rete industriale, come i dispositivi IoT (Internet of Things), i sistemi di controllo industriale e la tecnologia operativa. Sono tre le vulnerabilità RCE (Remote Code Execution) critiche corrette questo mese e tre le vulnerabilità di elevazione dei privilegi (EoP) importanti.
Le vulnerabilità interessano vari componenti di Microsoft Defender per dispositivi IoT. La CVE-2024-21322 è una vulnerabilità RCE sfruttata tramite l'applicazione web del portale, mentre la CVE-2024-21323 è una vulnerabilità RCE sfruttata tramite un pacchetto di aggiornamento del sensore. Indipendentemente dal componente, tutte le vulnerabilità possono essere sfruttate tramite la rete, pertanto potrebbe essere possibile rilevare o mitigare parte del rischio utilizzando la segmentazione della rete.
Numero CVE |
Effetto |
|---|---|
Esecuzione di codice remoto |
|
Elevazione dei privilegi |
|
Windows Routing and Remote Access Service (RRAS)
Il Routing and Remote Access Service (RRAS) è un servizio Windows che consente al sistema operativo di comportarsi come un router, consentendo connessioni da sito a sito tramite VPN o dial-up. Sono tre le vulnerabilità critiche individuate nel servizio questo mese, tutte con un punteggio CVSS di 8,8. Le note sulla patch non ci dicono molto, tranne che le vulnerabilità RCE vengono attivate mediante un server dannoso su un client ignaro. Pertanto, è possibile mitigare alcuni dei rischi posti da queste vulnerabilità tramite il modello Zero Trust e la segmentazione.
Il servizio RRAS non è disponibile su tutti i server Windows, fa parte del ruolo di accesso remoto e deve essere installato in modo specifico. Nelle nostre osservazioni, abbiamo visto che in circa il 12% degli ambienti erano presenti server Windows con il ruolo di accesso remoto installato.
Oltre al servizio RRAS, nella patch di questo mese sono state corrette più vulnerabilità CVE in Remote Access Connection Manager. I due servizi sono correlati poiché Connection Manager viene utilizzato per organizzare i profili di connessione con il servizio RRAS (tra gli altri).
Numero CVE |
Componente |
Effetto |
|---|---|---|
RRAS |
Esecuzione di codice remoto |
|
Connection Manager |
Elevazione dei privilegi |
|
Divulgazione delle informazioni |
||
Windows Authentication
Windows Authentication è un termine alquanto ampio poiché include più metodi di autenticazione, protocolli e provider supportati da Windows. Le due vulnerabilità CVE presenti in Windows Authentication riguardano due componenti completamente diversi. La
CVE-2024-21447 è una vulnerabilità EoP presente nel servizio User Manager, possibilmente dovuta ad errate restrizioni della directory. Si tratta di un bypass della CVE-2023-36047, perché apparentemente si trattava di una correzione parziale. La
CVE-2024-29056, tuttavia, sembra causare problemi nell'implementazione della convalida PAC di Kerberos, come riportato nella sezione delle domande frequenti e nell'articolo della Knowledge Base correlato. Inoltre, potrebbe essere correlata ad altre CVE di Kerberos.
Numero CVE |
Componente |
Effetto |
|---|---|---|
User Manager |
Elevazione dei privilegi |
|
Convalida PAC di Kerberos |
||
Windows Kerberos |
DoS (Denial-of-Service) |
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Divulgazione delle informazioni |
Locale |
||
Esecuzione di codice remoto |
Locale, interazione utente richiesta |
||
Rete |
|||
Elusione delle funzioni di sicurezza |
Rete, interazione utente richiesta |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.