Il punto di vista di Akamai sulla Patch Tuesday di febbraio 2024
Un bouquet di rose è un regalo incantevole, ma nel nostro settore una patch è ancora più apprezzata. Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. Delle 73 CVE di questo mese, cinque sono di importanza critica e altre due sono state sfruttate in rete: CVE-2024-21351 in Windows SmartScreen e CVE-2024-21412 nei file di scelta rapida di Internet. Entrambe le vulnerabilità eludono la sicurezza e consentono agli autori di attacchi di bypassare i controlli di sicurezza che avvisano gli utenti dell'accesso a file potenzialmente dannosi.
In questo blog, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità sfruttate in rete
CVE-2024-21351 - Windows SmartScreen (CVSS 7.6)
Si tratta di una vulnerabilità che ignora l'avviso di sicurezza SmartScreen quando vengono aperti file potenzialmente dannosi scaricati dal web. In questo scenario, Windows SmartScreen è responsabile della visualizzazione di una schermata di avviso. La vulnerabilità richiede all'autore dell'attacco di creare un file in modo che Windows SmartScreen non possa controllare il file e quindi di eludere la schermata di avviso. In base alle note CVE, tramite questa vulnerabilità è anche possibile iniettare il codice nel processo SmartScreen.
Non è la prima volta che le vulnerabilità di elusione della sicurezza di SmartScreen sono state sfruttate attivamente dai criminali. La patch rilasciata a novembre 2023 includeva anche una correzione per una vulnerabilità di elusione segnalata come attivamente sfruttata.
CVE-2024-21412 - File di scelta rapida di Internet (CVSS 8.1)
I file di scelta rapida di Internet sono file .url che puntano agli indirizzi Internet. La vulnerabilità elude alcuni controlli di sicurezza che dovrebbero attivarsi quando si fa doppio clic sui file, similmente a quanto accade con la CVE SmartScreen riportata sopra (infatti, da novembre 2023 la CVE in SmartScreen è specifica per i file di scelta rapida di Internet e questa CVE è un bypass di questa patch). I file di scelta rapida devono essere specificamente creati per attivare la vulnerabilità, cosa che accade quando la vittima fa doppio clic su di essi. È stata utilizzata nell'ambito della campagna Water Hydra. Ulteriori dettagli sono disponibili nel post di Peter Girnus pubblicato sulla piattaforma X, precedentemente nota come Twitter, o nel blog di Trend Micro.
Windows Exchange Server e Microsoft Outlook
Sebbene Exchange Server e Outlook siano due prodotti distinti, sono così correlati (il primo è il server email e il secondo è il client e-mail) che abbiamo deciso di affrontare il discorso per entrambi. Tre CVE corrette con patch erano presenti in Outlook, di cui una considerata di importanza critica, e un'altra CVE in Exchange Server.
CVE-2024-21413 è una vulnerabilità critica per l'esecuzione del codice remoto in Outlook che (secondo le note di Microsoft) consente ai criminali di eludere la Visualizzazione protetta di Office e aprire i documenti in modalità di modifica anziché di sola lettura. Ciò potrebbe comportare l'esclusione dei meccanismi di sicurezza e la divulgazione delle credenziali che potrebbero essere quindi utilizzate per eseguire il codice remoto. Questa vulnerabilità è stata scoperta da Haifei Li di Check Point Research; per ulteriori informazioni fate riferimento a questo blog.
CVE-2024-21410 è un'altra vulnerabilità critica per l'esecuzione del codice remoto, ma in Windows Exchange Server. La vulnerabilità richiede che gli autori degli attacchi stabiliscano qualche tipo di canale MITM (Machine-In-The-Middle) per inoltrare le credenziali a Exchange Server e autenticarsi come vittima. I criminali potrebbero quindi eseguire azioni privilegiate per conto della vittima. Microsoft consiglia di attivare la Protezione estesa per l'autenticazione per mitigare il rischio, ma si consiglia anche di applicare le patch. Negli ambienti da noi monitorati, abbiamo rilevato che il 27% delle reti aziendali disponeva di un Exchange Server on-premise.
Numero CVE |
Componente |
Effetto |
Accesso richiesto |
|---|---|---|---|
Microsoft Exchange Server |
Elevazione dei privilegi |
Rete |
|
Microsoft Outlook |
Esecuzione di codice remoto |
||
Elevazione dei privilegi |
Locale |
Windows OLE e ODBC
Windows OLE OLE e ODBC sono entrambe specifiche per API, progettate per eliminare la connessione tra un utente dati e un'origine dati. Mentre ODBC è precedente e procedurale, OLE è più recente, implementata utilizzando il modello COM (Component Object Model) e supporta anche database non relazionali.
Sono 18 le CVE corrette da patch questo mese, 16 correlate a OLE e 2 a ODBC. Tutte le CVE servono per l'esecuzione del codice remoto che prende come obiettivo il client del database. I criminali devono convincere le vittime a connettersi a un database dannoso sotto il loro controllo, dal quale possono inviare pacchetti specificamente creati per attivare l'esecuzione del codice remoto sul client della vittima. Quasi tutte le CVE hanno un punteggio CVSS di 8.8.
Possibile mitigazione
L'impatto di tutte le vulnerabilità può essere mitigato utilizzando la segmentazione. Disporre di un elenco di server SQL noti consentiti garantirà all'organizzazione che non vengano stabilite connessioni a server esterni sconosciuti, prevenendo la catena di attacchi descritta in precedenza.
Numero CVE |
Componente |
|---|---|
Driver Microsoft WDAC ODBC |
|
Driver Microsoft ODBC |
|
OLE Windows |
|
Provider Microsoft WDAC OLE DB per server SQL |
|
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Elevazione dei privilegi |
Locale |
||
Esecuzione di codice arbitrario |
|||
Esecuzione di codice remoto (RCE) |
Rete |
||
DoS (Denial-of-Service) |
Rete |
||
DoS (Denial-of-Service) |
Rete |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.
