Il punto di vista di Akamai sulla Patch Tuesday di febbraio 2023
È l'ora del rilascio delle patch e Microsoft ha davvero esagerato con i suoi regali, con circa 80 CVE corrette, nove delle quali critiche e cinque con un punteggio CVSS di ben 9,8. Tre delle CVE corrette sembra che siano state utilizzate nella realtà, il che consente di parlare di patch zero-day.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
Nota: c'è un problema con la patch di questo mese e con le VM di Windows Server 2022 VM con Avvio protetto in esecuzione su VMware ESXi 7.0.x e versioni successive, che potrebbero non avviarsi dopo l'installazione KB5022842.
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Vulnerabilità sfruttate in rete
CVE-2023-21823
Inizieremo con la vulnerabilità RCE (Remote Code Execution) nel componente Windows Graphic. Sebbene la vulnerabilità venga sfruttata da remoto, il vettore di attacco è elencato come locale. Ciò significa, probabilmente, che si tratta piuttosto di una vulnerabilità correlata all'esecuzione di codice arbitrario (ACE) che richiede all'utente di interagire con un file scaricato.
Curiosamente, questa CVE influisce anche su Microsoft Office, iOS e le versioni Android incluse. Pertanto, l'aggiornamento non viene gestito solo tramite Windows Update, ma anche tramite Microsoft Store, Google Play e the App Store. Se avete disabilitato gli aggiornamenti automatici in qualsiasi di questi store, ricordatevi di attivare gli aggiornamenti sui vostri dispositivi.
CVE-2023-21715
Si tratta di una vulnerabilità correlata all'elusione della sicurezza in Microsoft Publisher. Nello specifico, ha a che fare con Mark-of-the-Web (MOTW). Normalmente, i file scaricati da Internet vengono contrassegnati internamente, così che il sistema operativo o i programmi sappiano che non devono fidarsi e non devono eseguirli (né i file né le macro al loro interno) automaticamente. Nello specifico, Microsoft Publisher non gestiva MOTW e consentiva l'esecuzione delle macro nei file scaricati dal web. Il problema è stato risolto con questa CVE. Il ricercatore sulla sicurezza Haifei Li ha scritto un'analisi più dettagliata su Twitter.
CVE-2023-23376
Si tratta di un vulnerabilità correlata all'elevazione dei privilegi nel driver per Common Log File System che consente ai criminali di ottenere i privilegi di sistema. Al momento non sono disponibili ulteriori dettagli.
Microsoft Protected Extensible Authentication Protocol
Il PEAP (Protected Extensible Authentication Protocol) è un protocollo che integra l'EAP (Extensible Authentication Protocol) all'interno di una sessione TLS. Il protocollo EAP viene usato per l'autenticazione di dispositivi e connessioni sulle reti e per l'autenticazione delle reti Wi-Fi.
È possibile configurare i server Windows con un ruolo opzionale denominato NPS (Network Policy Server) da poter utilizzare per autenticare e accettare le richieste di connessione alla rete con i protocolli EAP e PEAP. Questa opzione non è abilitata per impostazione predefinita, ma il ruolo NPS deve essere installato e configurato manualmente. Dalle nostre osservazioni, risulta che solo il 21% delle reti disponeva di server NPS.
Dal momento che si suppone che il ruolo NPS sia centrale per la rete e per le richieste di autenticazione dei processi, potrebbe essere problematico applicarvi le policy di segmentazione. Al contrario, Microsoft afferma che una possibile mitigazione consisterebbe nel non accettare il PEAP nelle negoziazioni sui protocolli e nel fornire due fonti per implementarlo.
Questo mese ci sono sei CVE in totale, tre RCE critiche (con un punteggio di 9,8) e tre CVE importanti (con un punteggio di 7,5): una RCE, un DoS e una CVE per l'elusione delle informazioni.
Numero CVE |
Gravità |
Punteggio base |
Effetto |
|---|---|---|---|
Critica |
9,8 |
Esecuzione di codice remoto (RCE) |
|
Importante |
7,5 |
||
DoS (Denial-of-Service) |
|||
Divulgazione delle informazioni |
Windows iSCSI
L'iSCSI è un protocollo usato per connettersi ai servizi di archiviazione SCSI. In Windows, i computer dispongono di un processo iniziatore iSCSI e del servizio iniziatore iSCSI Microsoft. Nessuno dei due servizi è in esecuzione per impostazione predefinita, ma devono essere eseguiti e configurati manualmente. Dalle nostre osservazioni, risulta che solo il 3% delle reti disponeva di computer con Windows iSCSI in esecuzione.
Questo mese ci sono una RCE critica e tre CVE DoS. Anche se non menzionate esplicitamente, presumiamo che le CVE si riferiscano al servizio iniziatore iSCSI Microsoft. Inoltre, la RCE dovrebbe funzionare solo su computer a 32 bit.
D: I miei computer stanno inviando biglietti elettronici di San Valentino, pertanto non posso applicarvi patch o riavviarli. Posso proteggerli comunque nel frattempo?
Fortunatamente, il servizio iSCSI non viene eseguito per impostazione predefinita. Pertanto, dovrebbe essere possibile mappare i computer che lo eseguono e creare policy di segmentazione per essi. Non dovrebbero esserci tante connessioni in entrata verso il servizio iSCSI, perciò si potrebbe usare la microsegmentazione per limitare l'accesso al servizio dall'esterno del computer. Liberare il computer per applicarvi le patch dovrebbe richiedere un po' di tempo.
Per mappare i computer con iSCSI, è possibile cercare le connessioni sulle porte TCP 860 e 3260 (le porte iSCSI predefinite). È possibile anche cercare lo stesso servizio iniziatore iSCSI Microsoft.
Ecco una query Osquery:
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
Inoltre, le domande frequenti sulla vulnerabilità RCE menzionano anche il rischio correlato con l'invio di una richiesta DHCP al servizio iSCSI. Se disponete di una visibilità nella rete, potete verificare se i vostri computer iSCSI ricevono normalmente le richieste DHCP (porte UDP 67 e 68) e, in caso contrario (o se avviene in un ambito limitato), potete applicarvi la segmentazione. Ciò dovrebbe fornire un'ulteriore mitigazione prima dell'applicazione della patch.
Microsoft SQL Server
Questo mese ci sono tre CVE RCE nel server SQL di Microsoft. Due di queste (con un punteggio CVSS base di 8,8) si applicano alla funzione opzionale di SQL Data Quality Services (DQS). La terza CVE ha un punteggio CVSS di 7,8. Dalle nostre osservazioni, risulta che il 60% delle reti dispone di server MSSQL e il 40% ha installato il servizio DQS.
Dal momento che, in genere, i server SQL contengono informazioni sensibili, dovrebbero essere segmentati e disporre di restrizioni per il controllo degli accessi, onde evitare il furto di dati. Se non avete applicato una policy del genere, è il momento giusto per farlo. Mappate i vostri server MSSQL esistenti (cercando il servizio MSSQL oppure le connessioni sulle porte 1433,1434). Dopo aver mappato i server esistenti, create delle policy di segmentazione sul traffico esistente e sugli altri segmenti che dovrebbero accedervi (ad esempio, dall'IT a tutti i reparti, all'interno del settore finanziario, ecc.). È anche una buona occasione per vedere chi sta accedendo a database che non dovrebbe toccare.
Questo mese ci sono altre sette CVE correlate a SQL in OLE e ODBC. Ne abbiamo già parlato nei precedenti avvisi e le nostre raccomandazioni non sono cambiate (e anche le CVE non sembrano cambiare). Leggete di più al riguardo nella sezione Servizi descritti in precedenza.
Driver della stampante Microsoft PostScript
PostScript è un linguaggio di programmazione usato per le descrizioni del layout delle pagine. Molte stampanti lo supportano (soprattutto quelle di alto livello per uso in uffici/aziende, non quelle per uso domestico).
Il driver della stampante PostScript è il componente di sistema in Windows (pscript5.dll) che riesce a comunicare con le stampanti tramite PostScript. Dalle nostre osservazioni, risulta che circa il 30% delle reti presenta computer con il driver della stampante PostScript.
Poiché i criminali usano le stampanti per violare i sistemi presi di mira, smettete un attimo di stampare i biglietti di San Valentino per applicare le patch necessarie o per proteggere in altro modo i vostri server di stampa.
Numero CVE |
Vettore di attacco |
Mitigazione |
|---|---|---|
Un criminale autenticato può inviare un file appositamente preparato a una stampante condivisa. Ciò provoca una RCE sul server di condivisione. |
Limitate le stampanti condivise oppure eseguite la segmentazione sui vostri server di condivisione delle stampanti per limitare gli accessi non autorizzati. Inoltre, dal momento che il criminale deve autenticarsi, anche i controlli o le verifiche degli accessi possono avvisarvi di un eventuale comportamento anomalo. |
|
Il vettore di attacco è elencato come locale e come ACE. In genere, ciò significa che l'utente sta aprendo qualcosa proveniente da Internet e che dà origine all'esecuzione di un codice. In questo caso, si tratta forse della stampa di un documento dannoso. |
Avere il controllo sui file scaricati o sulle utilità di analisi dei file allegati alle e-mail può aiutare a mitigare il rischio. Inoltre, questa CVE sembra più adatta a computer desktop o di singoli utenti. In genere, è più facile applicarvi le patch rispetto ai server critici. |
|
In base alle domande frequenti, un utente deve accedere a una stampante dannosa e il risultato finale è la divulgazione della memoria heap. |
Dal momento che le vostre stampanti devono essere considerate, l'aggiunta di regole di segmentazione per evitare l'accesso alle "nuove" stampanti dovrebbe essere fattibile e mitigare il rischio. |
Microsoft Word
C'è una CVE RCE critica (punteggio CVSS 9,8) in Microsoft Word che ha a che fare con i file RTF (a chi non piacciono quei fiori rossi e spinosi per il giorno di San Valentino?).
In questo caso, file RTF creati appositamente possono attivare l'esecuzione di un comando quando vengono aperti da Word. Ciò influisce anche sul riquadro di anteprima e su Sharepoint. Fortunatamente, Microsoft ha fornito due possibili mitigazioni.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i nostri post precedenti.
Microsoft |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Esecuzione di codice remoto (RCE) |
Accesso alla rete con un utente autenticato con autorizzazioni per la gestione di elenchi. |
||
Esecuzione di codice remoto (RCE) |
La vittima deve connettersi a un server SQL dannoso tramite OLEDB. |
||
Esecuzione di codice remoto (RCE) |
La vittima deve connettersi a un server SQL dannoso tramite ODBC. |
||
Esecuzione di codice remoto (RCE) |
Rete; richiede l'autenticazione |
||
Rete; richiede l'autenticazione del criminale come amministratore |
|||
Spoofing |
Accesso alla rete e autenticazione. L'utente deve anche fare clic sul link infetto. |
||
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.