Il punto di vista di Akamai sulla Patch Tuesday di agosto 2023
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
Questo mese sono stati rilasciati 73 CVE e 3 avvisi. Si tratta di poco più della metà rispetto al mese scorso, il che è positivo, perché il campo estivo degli hacker è alle porte e chi ha tempo per le patch, giusto? Ci sono sei CVE critiche in Microsoft Teams, Accodamento messaggi Microsoft e Microsoft Outlook. Si segnala anche una vulnerabilità DDoS (Distributed Denial-of-Service) sfruttata in rete, CVE-2023-38180, in .NET Core e Visual Studio, e una CVE dal nostro Ben Barnea.
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Piattaforme HTML Windows (segnalate da Akamai)
.NET Core e Visual Studio (sfruttate in rete
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Potete anche visualizzare un rapido riepilogo della patch sul nostro account Twitter. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e potremmo aggiungere ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
Vulnerabilità segnalate da un ricercatore Akamai
CVE-2023-35384 - Piattaforme HTML Windows (CVSS 5.4)
Nonostante la bassa gravità assegnata a questa vulnerabilità, il suo background e le sue conseguenze sono piuttosto interessanti. Ben Barnea l'ha scoperta durante la sua analisi del Patch Tuesday di maggio ed è stata risolta questo mese.
Inizialmente, Microsoft aveva rilasciato le patch per CVE-2023-23397 , una vulnerabilità critica di elevazione dei privilegi (EoP) in Outlook, che era stata sfruttata in rete. Questa vulnerabilità consentiva a un criminale di inviare alla vittima un messaggio di posta elettronica, attivare una connessione SMB con il proprio server controllato e, di conseguenza, intercettare (e possibilmente decifrare o inoltrare) le credenziali NTLM. Si trattava di una vulnerabilità che poteva essere sfruttata facilmente da un criminale non autenticato da qualsiasi punto di Internet.
La correzione per CVE-2023-23397 ha aggiunto un controllo per classificare un percorso come locale, intranet, Internet, ecc. Questo controllo può essere aggirato fornendo un percorso appositamente creato, come abbiamo spiegato e dimostrato in un blog precedente.
La vulnerabilità CVE-2023-35384 di questo mese è un altro aggiramento della correzione di Microsoft. Siete confusi? Mettiamo le cose in ordine:
Vulnerabilità EoP critica originale in Microsoft Outlook |
Segnalata dal CERT (Computer Emergency Response Team) ucraino |
|
Aggiramento della correzione per CVE-2023-23397, rilasciata a maggio |
Segnalato dal ricercatore Akamai Ben Barnea |
|
Un ulteriore aggiornamento della correzione per CVE-2023-23397, rilasciato questo mese (agosto) |
Stiamo progettando di condividere i dettagli per della CVE-2023-35384 e di dimostrarne lo sfruttamento in modo sorprendente, quindi tenete d'occhio la pubblicazione.
Vulnerabilità sfruttata in rete
CVE-2023-38180 - .NET Core e Visual Studio (CVSS 7.5)
Si tratta di una vulnerabilità DoS, ma non ci sono note, domande frequenti o riconoscimenti rilasciati con questa CVE. Pertanto, è quasi impossibile ipotizzarne la causa principale. Tuttavia, poiché il vettore di attacco è la rete, abbiamo alcuni indizi. Esclusione di responsabilità: il seguente paragrafo è puramente speculativo.
Secondo i risultati dei nostri test su istanze di Visual Studio installate localmente, questa CVE non sembra essere in ascolto di connessioni in entrata (anche se abbiamo visto connessioni in uscita dal suo processo). Pertanto, è più probabile che il vettore di attacco non venga ottenuto dai criminali raggiungendo direttamente il processo attraverso la rete, ma piuttosto inviando un file pericoloso alla vittima, che arresta in modo anomalo la sua istanza di Visual Studio e .NET Core.
Accodamento messaggi Microsoft
C'erano 11 vulnerabilità nel servizio Accodamento messaggi Microsoft (MSMQ) corrette questo mese. Tre vulnerabilità RCE (Remote Code Execution) critiche con punteggio 9.8, sei vulnerabilità DoS e due vulnerabilità di divulgazione delle informazioni.
Il servizio MSMQ è una funzionalità opzionale in Windows che viene utilizzata per il recapito di messaggi tra diverse applicazioni. Pur essendo opzionale, viene utilizzata in background da molte applicazioni aziendali per Windows, come Microsoft Exchange Server. Da quanto abbiamo osservato, è emerso che il servizio è stato installato in quasi il 69% degli ambienti, solitamente su più di un computer.
Poiché il servizio MSMQ è accessibile tramite la porta 1801, ma non molti client dovrebbero effettuare l'accesso (In quanto viene utilizzato principalmente dall'applicazione aziendale stessa), consigliamo di limitare l'accesso di rete arbitrario a tale porta e a questo servizio. Provate a segmentarlo utilizzando policy di elenchi di elementi consentiti, consentendo l'accesso solo ai computer che ne hanno effettivamente bisogno. Per assistenza con la segmentazione, potete fare riferimento al nostro post del blog (Micro) segmentazione da un punto di vista pratico (in modo specifico alle sezioni relative a isolamento delle applicazioni e microsegmentazione .
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|
Esecuzione di codice remoto (RCE) |
Rete |
|
DoS (Denial-of-Service) |
||
Divulgazione delle informazioni |
||
Microsoft Exchange Server
Questo mese sono state riscontrate sei CVE in Microsoft Exchange Server: quattro di esse consentono l'esecuzione di codice remoto sul server remoto, mentre le altre due sono vulnerabilità EoP o di tipo spoofing. Nelle nostre osservazioni, abbiamo visto che in circa il 28% degli ambienti erano presenti server Microsoft Exchange locali.
La CVE EoP, CVE-2023-21709, è in effetti la CVE con il punteggio CVSS più alto (9,8) nonostante sia classificata come gravità "Importante" e non "Critica". Secondo Microsoft, la vulnerabilità potrebbe consentire ai criminali di forzare la password di un utente Exchange e accedere come tale. La gravità Importante è dovuta al fatto che gli attacchi di forza bruta non dovrebbero funzionare contro utenti con password complesse.
Per questa CVE, la sola applicazione patch non è sufficiente. Microsoft fornisce uno script aggiuntivo, CVE-2023-21709, che gli amministratori devono eseguire dopo aver installato la patch. In alternativa, dovrebbe funzionare il seguente comando:
Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"
Microsoft indica anche che l'esecuzione dello script (o del comando precedente) può risolvere la vulnerabilità al posto della patch, ma raccomanda vivamente (e lo facciamo anche noi) di applicare la patch il prima possibile.
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|
Esecuzione di codice remoto (RCE) |
Rete |
|
Rete adiacente |
||
Elevazione dei privilegi |
Rete |
|
Spoofing |
Microsoft Teams
Microsoft Teams è la piattaforma proprietaria di Microsoft per la comunicazione, la messaggistica e le videoconferenze, e fa parte di Microsoft 365. Questo mese in Teams ci sono due CVE di esecuzione di codice remoto critiche. Entrambe le CVE richiedono che l'utente partecipi attivamente a una riunione dannosa organizzata dall'autore della minaccia, dopodiché quest'ultimo potrebbe eseguire codice remoto nel contesto dell'utente vittima.
Nelle nostre osservazioni, il 44% degli ambienti aveva Microsoft Teams in esecuzione.
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|
Esecuzione di codice remoto (RCE) |
Rete |
|
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Microsoft |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Spoofing |
Rete |
||
Divulgazione delle informazioni |
|||
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice arbitrario |
Locale |
||
Divulgazione delle informazioni |
Locale |
||
