Il punto di vista di Akamai sulla Patch Tuesday di agosto 2024
Las Vegas è stata presa d'assalto dagli hacker in questi giorni, che hanno sfruttato tutto ovunque. Si è trattato di un periodo impegnativo, come sottolineato in questa Patch Tuesday, perché sono state individuate sei vulnerabilità sfruttate in rete, Delle 89 CVE rilasciate nella Patch Tuesday di agosto 2024, quattro di esse sono state divulgate pubblicamente e una di esse è stata presentata al Black Hat. In questo mese, è stato pubblicato anche un avviso.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità rilevate in rete
CVE-2024-38178 - Danneggiamento della memoria del motore di scripting (CVSS 7,5)
I linguaggi di script di Windows possono fare riferimento a più implementazioni di linguaggi di script all'interno di Windows, come VBScript, JavaScript o altri. Abbiamo notato che il file jscript9.dll è cambiato, pertanto supponiamo che la vulnerabilità corretta si trovi nel componente JScript .
JScript è l'implementazione di ECMAScript, lo stesso standard alla base di JavaScript e utilizzato da Internet Explorer. Anche Chakra è un motore JavaScript, derivato da JScript, ed è utilizzato da Microsoft Edge Legacy (le versioni più recenti di Edge sono basate su Chromium). Entrambi sono implementati come DLL, opportunamente denominati jscript9.dll e chakra.dll.
Secondo l'avviso, un attacco richiede alla vittima di fare clic su un collegamento e di utilizzare Edge in modalità Internet Explorer. Supponiamo che questa vulnerabilità possa essere attivata anche in altri modi, eventualmente tramite Office.
CVE-2024-38213 - Windows Mark of the Web (CVSS 6,5)
È importante notare che questa vulnerabilità è stata corretta a giugno 2024, ma l'avviso non è stato pubblicato fino ad agosto 2024.
Si tratta di una vulnerabilità che ignora l'avviso di sicurezza SmartScreen quando vengono aperti file potenzialmente dannosi scaricati dal web. In questo scenario, Windows SmartScreen è responsabile della visualizzazione di una schermata di avviso. La vulnerabilità richiede all'autore dell'attacco di creare un file in modo che Windows SmartScreen non possa controllare il file e quindi di eludere la schermata di avviso.
Non è la prima volta che le vulnerabilità di elusione della sicurezza di SmartScreen sono state sfruttate attivamente dai criminali. Anche le patch di novembre 2023 e febbraio 2024 hanno incluse le correzioni necessarie per bypassare le vulnerabilità segnalate come sfruttate attivamente.
Sono state anche segnalate altre quattro vulnerabilità sfruttate in rete.
Windows TCP/IP
Lo stack TCP/IP in Windows è un componente fondamentale della funzionalità di rete del sistema operativo. Gestisce il trasporto dei dati tra le reti tramite la suite di protocolli TCP/IP, che è la base delle comunicazioni in Internet e nella maggior parte delle reti locali.
Nel sistema operativo Windows, lo stack TCP/IP è implementato nel driver tcpip.sys. Questo modulo kernel è responsabile della gestione dei protocolli di rete, tra cui i protocolli TCP tramite i livelli di trasporto IPv4 e IPv6.
CVE-2024-38063 (CVSS 9.8) è una vulnerabilità critica in questo stack di rete che consente ad un criminale non autenticato di inviare pacchetti IPv6 appositamente creati che potrebbero condurre all'esecuzione di codice remoto.
Un importante blog pubblicato dal team Microsoft Security Response Center ha trattato delle CVE individuate in precedenza in questo componente, in cui l'esecuzione di codice remoto (RCE) e gli attacchi DoS (Denial-of-Service) possono essere sferrati tramite pacchetti creati in modo errato. Il punteggio CVSS indica che la complessità dell'attacco è bassa (AC:L) rispetto ai risultati precedenti.
Secondo Microsoft, i computer che hanno disabilitato il protocollo IPv6 sono protetti da questa vulnerabilità. Riteniamo che questa vulnerabilità possa essere usata dai criminali a causa dell'uso diffuso del protocollo IPV6, della bassa complessità dell'attacco e del fatto che sia accessibile a criminali non autenticati, quindi applicate le patch appropriate ai vostri sistemi!
Potete usare la seguente osquery per rilevare le schede di rete che sono attivate e dispongono di un indirizzo IPV6:
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Virtualizzazione della rete Windows
Windows Network Virtualization (WNV) è una funzione presente nel sistema Hyper-V Network Virtualization che consente alle macchine virtuali (VM) di comunicare come se si trovassero sulla stessa sottorete, anche se sono situate su sottoreti o reti fisiche diverse. Questa operazione viene effettuata disassociando le reti virtuali dalla rete fisica e consentendo alle VM di spostarsi tra gli host fisici senza alterare le configurazioni di rete.
WNV utilizza Network Virtualization Generic Routing Encapsulation (NVGRE) o Virtual Extensible LAN (VXLAN) per l'incapsulamento dei pacchetti, fornendo caratteristiche di isolamento e scalabilità, oltre ad un supporto multi-tenant negli ambienti cloud. Le vulnerabilità
CVE-2024-38159 e CVE-2024-38160 potrebbero consentire un'elusione da guest a host, che, alla fine, porterebbe ad una RCE. Anche se entrambe le vulnerabilità presentano un punteggio CVSS pari a 9,1, riguardano solo Windows Server 2016 e Windows 10 (1607).
Microsoft suggerisce di mitigare le vulnerabilità eseguendo le macchine Hyper-V all'interno di un'altra piattaforma virtuale, come VMware, o eliminando completamente la virtualizzazione basata sulla macchina Hyper-V.
Windows Routing and Remote Access Service (RRAS)
Routing and Remote Access Service (RRAS) è un servizio di Windows che consente al sistema operativo di comportarsi come un router, consentendo connessioni da sito a sito tramite VPN o dial-up. Sono sei le vulnerabilità individuate nel servizio questo mese, cinque di esse con un punteggio CVSS di 8,8.
Le note sulla patch non ci dicono molto, tranne che le vulnerabilità RCE vengono attivate mediante un server dannoso su un client ignaro. Pertanto, è possibile mitigare alcuni dei rischi posti da queste vulnerabilità tramite il modello Zero Trust e la segmentazione.
Il servizio RRAS non è disponibile su tutti i server Windows, fa parte del ruolo di accesso remoto e deve essere installato in modo specifico. Abbiamo notato che in circa il 12% degli ambienti monitorati erano presenti server Windows con il ruolo di accesso remoto installato.
Microsoft Outlook
Sembra che non sia possibile pubblicare una Patch Tuesday senza individuare una vulnerabilità di Outlook. La CVE-2024-38173 è una vulnerabilità RCE presente in Outlook. Anche se il riquadro di anteprima è un vettore di attacco, la vulnerabilità richiede le credenziali della vittima.
Per attivare la vulnerabilità, viene caricato in Exchange un modulo dannoso. Quando il sistema Outlook della vittima si sincronizza con Exchange, scarica il modulo dannoso, che può portare all'esecuzione di codice sul computer preso di mira. Questa vulnerabilità è stata scoperta da Morphisec e riteniamo sia simile alla CVE-2024-30103.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.