Il punto di vista di Akamai sulla Patch Tuesday di dicembre 2023
Questa è l'ultima Patch Tuesday dell'anno, ragazzi, e sembra che Microsoft si sia messo in ferie poiché sono state rilevate solo 33 CVE con patch questo mese. Akamai, tuttavia, non si ferma mai: una CVE rilevata da uno dei nostri colleghi, Ben Barnea, fa parte della patch.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. Delle 33 CVE di cui sono state rilasciate le patch in questo mese, quattro sono critiche (ma solo tre sono legate all'esecuzione di codice remoto [RCE]) con il massimo punteggio CVSS pari a 9,6. Non sono state registrate CVE divulgate pubblicamente o sfruttate in rete questo mese.
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Piattaforma MSHTML Windows
Si tratta di una vulnerabilità RCE presente nel componente MSHTML, individuata da un ricercatore di Akamai, Ben Barnea.
MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.
Come citato nell'avviso di Microsoft, questa vulnerabilità può essere usata contro i clienti di Outlook e attivata prima della visualizzazione dell'e-mail. La vulnerabilità consiste in una violazione della memoria facile da attivare, anche se complessa da sfruttare.
Nei prossimi mesi, condivideremo ulteriori dettagli tecnici, tra cui informazioni su un altro vettore (diverso dall'e-mail) che attiva questa vulnerabilità.
Microsoft Edge (basata su Chromium)
Microsoft Edge è un browser web proprietario multipiattaforma. Anche se è stato inizialmente sviluppato tramite strumenti proprietari, Microsoft ha trasferito completamente il browser per l'utilizzo del progetto open source Chromium di Google nel 2020.
Questo mese, sono state rilevate tre CVE correlate a Microsoft Edge: due vulnerabilità di divulgazione delle informazioni di bassa gravità, CVE-2023-38174 e CVE-2023-36880, e una vulnerabilità di elevazione dei privilegi (EoP) di moderata gravità, CVE-2023-35618. Tutte le vulnerabilità richiedono al criminale di indurre l'utente a visitare un sito web o ad aprire un collegamento, ossia, a cadere vittima degli attacchi di phishing.
Curiosamente, anche se la vulnerabilità EoP è classificata di moderata gravità, il suo punteggio CVSS è molto alto: 9,6. La ragione di questa disparità riguarda la complessità richiesta per attivare la vulnerabilità. Secondo Microsoft: Per attivare la vulnerabilità, il criminale deve indurre l'utente ad aprire una pagina web o un server che ospita contenuti appositamente realizzati, quindi indurlo ad aprire un file appositamente creato. Questo processo multifase ha diminuito la gravità della vulnerabilità secondo le linee guida del programma Bounty di Microsoft.
Microsoft Edge viene fornito per impostazione predefinita con il sistema operativo Windows. Dalle nostre osservazioni, è il browser più usato nelle reti aziendali, ossia dal 52% dei computer che eseguono un browser.
Connettore Microsoft Power Platform
Microsoft Power Platform è un set di strumenti e prodotti che aiutano con l'intelligence aziendale e lo sviluppo delle app. Un connettore è un proxy o un wrapper di API che consente ad un servizio sottostante di comunicare con i prodotti Power Platform.
Questo mese, è stata registrata una sola CVE critica, CVE-2023-36019, con un punteggio base di 9,6. La CVE consente ai criminali di manipolare collegamenti, applicazioni o file per indurre gli utenti a pensare che stiano interagendo con un'applicazione legittima. Poiché le note della patch parlano di connettori personalizzati (costruiti dall'utente quando non sono disponibili opzioni da parte di Microsoft), supponiamo che qui risiede la vulnerabilità. Le note della patch riportano anche che i connettori personalizzati devono essere aggiornati per ricevere un URI di reindirizzamento per connettore.
La nostra ipotesi è che i connettori sono riusciti a condividere i loro URI di reindirizzamento, consentendo ai criminali di raggirare i connettori o i bersagli presi di mira per indurre gli utenti a connettersi al posto errato.
Microsoft ha affermato di aver contattato i clienti interessati tramite Microsoft 365 Admin Center o Service Health nel portale di Azure.
Internet Connection Sharing
Internet Connection Sharing (ICS) è un servizio Windows che consente ad un computer connesso a Internet di condividere la sua connessione a Internet con altri computer nella rete locale. Il computer che esegue il servizio ICS fornisce il protocollo DHCP (Dynamic Host Configuration Protocol) e i servizi NAT (Network Address Translation) per i computer adiacenti che lo utilizzano.
Questo mese, sono state rilevate tre CVE: due vulnerabilità RCE critiche con un punteggio CVSS di 8,8 e un'altra vulnerabilità DoS (Denial-of-Service) (CVE-2023-35642, con un punteggio CVSS di 6,5, che è stata classificata come grave.
Le due vulnerabilità critiche si trovano nel DHCP del servizio ICS. La vulnerabilitàCVE-2023-35641 richiede l'invio di un pacchetto DHCP appositamente creato dal criminale per conseguire l'RCE. La vulnerabilità
CVE-2023-35630 richiede la modifica di un campo di lunghezza opzionale in un messaggio di input DHCPv6 ( DHCPV6_MESSAGE_INFORMATION_REQUEST) da parte del criminale. Entrambe le vulnerabilità consentono ai criminali di conseguire l'RCE sul computer del servizio ICS.
Il servizio ICS è disponibile per impostazione predefinita sulle moderne installazioni di Windows (workstation e server) e viene solitamente impostato per avviarsi automaticamente all'avvio, ossia si avvia dopo aver stabilito una connessione RPC con l'interfaccia del server IP NAT Helper RPC.
Potete usare la seguente query nella funzione Insight di Akamai Guardicore Segmentation per cercare il servizio ICS e il suo stato:
SELECT status, start_type FROM services WHERE name='SharedAccess'
Nelle nostre osservazioni, il 27% degli ambienti ha eseguito un servizio ICS su alcuni computer. Di solito, meno dell'1% dei computer hanno eseguito il servizio ICS su una sola rete.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Microsoft |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
DoS (Denial-of-Service) |
Rete |
||
DoS (Denial-of-Service) |
Rete |
||
Divulgazione delle informazioni |
|||
Esecuzione di codice remoto (RCE) |
Rete |
||
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.
