Il punto di vista di Akamai sulla Patch Tuesday di dicembre 2024
A cosa serve il calendario dell'avvento? Dateci subito tutto insieme! ...E con tutto, intendiamo anche le nuove CVE! Questo mese, sono state rilasciate 71 CVE in totale in 32 diversi componenti, 17 delle quali sono critiche e una delle quali è stata sfruttata in rete.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Windows Common Log File System Driver
L'API Common Log File System di Windows offre funzionalità di registrazione ad alte performance. Per interagire con questa API, sviluppatori e programmi si basano sul file Clfsw32.dll, che è un componente in modalità utente. "Dietro le quinte", tuttavia, la logica viene implementata in un driver kernel, denominato clfs.sys, nel quale, probabilmente, si trovano le vulnerabilità per cui sono state rilasciate le patch questo mese.
Si tratta di un aspetto importante perché i criminali potrebbero utilizzare questo driver legittimo come tecnica di escalation dei privilegi anche su un sistema corretto con patch per sferrare un attacco BYOVD (Bring Your Own Vulnerable Driver) .
Sono presenti tre CVE, tutte relative all'escalation dei privilegi in locale. Solo una di esse èstata rilevata in rete: la CVE-2024-49138.
Numero CVE |
Effetto |
|---|---|
Elevazione dei privilegi |
|
Windows Lightweight Directory Access Protocol (LDAP)
Windows Lightweight Directory Access Protocol (LDAP) è un protocollo open source progettato per la connessione e l'esecuzione di query di servizi di directory e database. Il controller di dominio di Active Directory dispone di un'implementazione del server LDAP per consentire ai programmi e ai server esistenti che si basano su LDAP di utilizzare il controller di dominio esistente senza richiedere un server separato.
Questo mese, sono presenti quattro vulnerabilità nel servizio LDAP, che interessano i controller di dominio senza patch: due vulnerabilità RCE (Remote Code Execution) e due vulnerabilità DoS (Denial-of-Service). Nessuna di queste quattro vulnerabilità richiede l'autenticazione.
Numero CVE |
Effetto |
|---|---|
Esecuzione di codice remoto |
|
DoS (Denial-of-Service) |
|
Si segnala anche un'altra vulnerabilità RCE, la CVE-2024-49124, che viene attribuita al client LDAP, ma viene sfruttata sul lato server. Al momento, non è chiaro se sia stata progettata per il client o il server.
Non possiamo applicare patch al nostro controller di dominio e rischiare di incorrere in problemi di downtime. È possibile mitigare altrove le vulnerabilità?
Non proprio. Poiché il controller di dominio è parte integrante di tutte le parti del dominio, è praticamente impossibile limitarne l'accesso senza compromettere le normali operazioni di rete. Anche tenere traccia delle vulnerabilità potrebbe essere difficile, poiché non richiedono alcuna autenticazione. I team di risposta agli incidenti possono prestare attenzione alle sessioni LDAP di breve durata che non ricevono una risposta dal server. Ciò potrebbe indicare un tentativo di sfruttamento.
In ogni caso, assicuratevi che i controller di dominio non siano esposti su Internet.
Windows Remote Desktop Services
Windows Remote Desktop viene usato per la connessione Desktop remoto tra computer Windows tramite RDP (Remote Desktop Protocol). Questo mese, sono state individuate molte vulnerabilità in diversi componenti di Windows Remote Desktop, pertanto verranno esaminate tutte insieme.
Le principali vulnerabilità sono, ovviamente, le nove RCE critiche individuate sul server desktop remoto. Un criminale deve "solo" connettersi ad un server RDP, inviare spam con pacchetti creati a scopi dannosi e vincere una race condition, che può poi essere sfruttata per eseguire una RCE.
Poiché il protocollo RDP viene comunemente usato nelle reti, anche per il movimento laterale, si consiglia di creare apposite regole di policy per proteggerlo. Nelle nostre osservazioni, è emerso che il 96% delle reti è stato attraversato dal traffico RDP di Windows, mentre il 20% delle reti non ha presentato limitazioni su alcune parti di questo traffico. In questo caso, l'aspetto positivo è rappresentato dal fatto che la maggior parte delle CVE si riferisce, nello specifico, ai server che svolgono un ruolo di gateway desktop remoto, anche se sono noti per influenzare tutti i servizi Windows Remote Desktop. I gateway desktop remoti sono meno comuni: infatti, nelle nostre osservazioni, risultano presenti solo nel 36% degli ambienti esaminati.
Numero CVE |
Effetto |
|---|---|
DoS (Denial-of-Service) |
|
Esecuzione di codice remoto |
|
Esecuzione di codice remoto, lato client |
La limitazione dell'accesso RDP ai computer degli utenti o solo a server pre-autorizzati (come le jumpbox) può ridurre enormemente il rischio presentato da queste vulnerabilità. Nel nostro blog sulla segmentazione, abbiamo descritto alcuni risultati immediati relativi all'accesso RDP. Indipendentemente dalle policy utilizzate, si consiglia di applicare le patch non appena possibile.
Accodamento messaggi Microsoft (MSMQ)
Il servizio Accodamento messaggi Microsoft (MSMQ) è una funzionalità opzionale in Windows che viene utilizzata per il recapito di messaggi tra diverse applicazioni. Pur essendo opzionale, viene utilizzata in background da molte applicazioni aziendali per Windows, come Microsoft Exchange Server. Da quanto abbiamo osservato, è emerso che il servizio è stato installato in quasi il 70% degli ambienti, solitamente su più di un computer.
Questo mese, sono presenti due vulnerabilità RCE di rete critiche, che possono consentire ai criminali di eseguire codice da remoto inviando un pacchetto creato appositamente al server MSMQ preso di mira, senza richiedere alcuna autenticazione. Si segnala anche un'altra vulnerabilità DoS.
Poiché il servizio MSMQ è accessibile tramite la porta 1801, ma non viene utilizzato di frequente da molti client (in quanto viene utilizzato principalmente dall'applicazione aziendale stessa), consigliamo di limitare l'accesso di rete arbitrario a tale porta e servizio. Provate a segmentare il servizio utilizzando policy di elenchi di elementi consentiti per autorizzare l'accesso solo ai computer che ne hanno effettivamente bisogno. Per ulteriori informazioni, potete fare riferimento al nostro blog, nello specifico alle sezioni sull' isolamento delle applicazioni e sulla microsegmentazione.
Numero CVE |
Effetto |
|---|---|
Esecuzione di codice remoto |
|
DoS (Denial-of-Service) |
Windows Local Security Authority Subsystem Service (LSASS)
Il servizio Local Security Authority Subsystem Service (LSASS) è un processo fondamentale del sistema operativo Windows. Viene eseguito in modalità utente, ma, poiché si tratta di un processo protetto, è responsabile della gestione degli accessi e della sicurezza, come, ad esempio, accessi degli utenti, verifica delle password e token di sicurezza.
Una tattica comunemente usata dai criminali e dai red team consisteva nello scaricare la memoria dei processi per acquisire le password degli utenti contenute in essa. Microsoft ha bloccato questa pratica aggiungendo un numero sempre maggiore di meccanismi di sicurezza al processo, ad esempio rendendolo protetto e, recentemente, anche utilizzando Hyper-V per isolarlo dalla modalità utente standard. Questo aspetto è molto importante.
Poiché il processo è responsabile degli accessi, ascolta sempre alcuni componenti della rete, come, ad esempio, i server RPC. Questo mese, è stata rilevata una RCE critica, la CVE-2024-49126, che si basa su uno di questi componenti: una race condition può consentire ad un criminale di eseguire codice arbitrario sul processo da remoto senza doversi autenticare.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday.
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Esecuzione di codice arbitrario |
Rete; l'utente deve aprire un file dannoso |
||
Elevazione dei privilegi |
Rete |
||
Divulgazione delle informazioni |
|||
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice remoto |
Locale; guest-to-host |
||
Elevazione dei privilegi |
Locale |
||
Elevazione dei privilegi |
Locale |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.
