Il punto di vista di Akamai sulla Patch Tuesday di gennaio 2023
È stata pubblicata la Patch Tuesday di Microsoft di gennaio 2023 eil team addetto alla ricerca sulla sicurezza di Akamai ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. Sembra che Microsoft abbia iniziato il nuovo anno con rinnovato vigore poiché questo mese ha corretto quasi il doppio delle CVE rispetto a dicembre. Anche il team Akamai Security Research ha iniziato l'anno con vigore; abbiamo rivelato due delle vulnerabilità da noi corrette questo mese: di seguito è riportata una breve descrizione .
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
Oltre alle vulnerabilità della sicurezza segnalate da Akamai, in questo rapporto ci concentreremo sulle aree in cui i bug sono stati corretti:
Vulnerabilità della sicurezza segnalate da Akamai
Le seguenti due vulnerabilità sono state segnalate a Microsoft e risolte nella patch di questo mese. Forniremo maggiori dettagli su queste vulnerabilità quando sarà trascorso un periodo maggiore di tempo per offrire a tutti la possibilità di applicare le patch di correzione ai propri sistemi. Per il momento, possiamo fornire una breve descrizione.
EoP SMB Witness Service remoto
CVE-2023-21549, punteggio CVSS: 8,8
Questa è un'altra vulnerabilità rilevata tramite il nostro kit di strumenti RPC L' SMB Service Witness Protocol viene utilizzato come parte dei file server in cluster SMB.
EoP LSM locale
CVE-2023-21771, punteggio CVSS: 7,0
Questa è un'altra vulnerabilità in una delle interfacce LSM RPC. La vulnerabilità è attivabile solo a livello locale e lo sfruttamento richiede il raggiungimento di una race condition facilmente ottenibile.
Poiché la funzione vulnerabile non esiste su tutte le build di Windows, solo le seguenti versioni sono vulnerabili:
Windows Server 2022
Windows 10 versioni 21H2 e 22H2
Windows 11 versioni 21H2 e 22H2
Windows Layer 2 Tunneling Protocol
Il Layer 2 Tunneling Protocol (L2TP) è un protocollo di tunneling utilizzato per supportare le VPN. In Windows, fa parte del server di accesso remoto (RAS), analogamente a SSTP e PPP (che sono stati esaminati nei mesi precedenti). L'accesso remoto è un ruolo di Windows Server che consente ai client remoti di connettersi alla LAN, in modo simile a una VPN. Il ruolo del server deve essere aggiunto attivamente.
Ci sono cinque vulnerabilità critiche in questo servizio questo mese, tutte con un punteggio CVSS di 8,1, che consentono l'esecuzione di codice in modalità remota.
Quattro di queste vulnerabilità (CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 e CVE-2023-21556) richiedono all'autore dell'attacco di raggiungere una race condition per attivarle. L'altra vulnerabilità ( CVE-2023-21543), secondo il MSRC (Microsoft Security Response Center), non richiede una race condition, ma richiede all'autore dell'attacco di eseguire altre operazioni prima di poterla sfruttare.
Non possiamo incorrere in problemi di downtime sul nostro server VPN. Possiamo utilizzare un altro tipo di mitigazione rispetto all'applicazione di patch?
Poiché il protocollo L2TP viene utilizzato per supportare i server VPN, è praticamente impossibile limitare l'accesso a Internet solo con questo protocollo. Pertanto, non ci sono molte opzioni di mitigazione disponibili se non l'applicazione di patch. Se i vostri dipendenti sono dislocati in alcune parti del mondo (ad esempio, tutti i vostri dipendenti si trovano negli Stati Uniti), potreste limitare l'accesso da determinate posizioni geografiche in base ad IP geografici, ma anche tale attività è molto difficile da contenere.
In alternativa, poiché tutte le CVE richiedono race condition o altre operazioni, si può presumere che il loro sfruttamento causerà un picco delle attività di rete. Il monitoraggio dell'attività di rete potrebbe generare avvisi su potenziali tentativi di sfruttamento.
Windows Lightweight Directory Access Protocol
L'LDAP (Lightweight Directory Access Protocol) è un protocollo open source progettato per la connessione e l'esecuzione di query di servizi di directory e database. Il controller di dominio di Active Directory dispone di un'implementazione del server LDAP per consentire ai programmi e ai server esistenti che si basano su LDAP di utilizzare l'AD esistente senza richiedere un server separato.
Questo mese, ci sono due vulnerabilità nel servizio LDAP, che interessano i controller di dominio senza patch. CVE-2023-21557 è una vulnerabilità DoS (Denial-of-Service) che può essere eseguita prima dell'autenticazione. L'avviso di MSRC afferma inoltre che sfruttare con successo la vulnerabilità potrebbe anche comportare una divulgazione di informazioni, ma non specifica quali dati sono trapelati. CVE-2023-21676 è una vulnerabilità dell'esecuzione di codice in modalità remota, sebbene richieda un'autenticazione pr3eliminare
Non possiamo applicare patch al nostro controller di dominio e rischiare di incorrere in problemi di downtime. È possibile mitigare altrove le vulnerabilità?
Non proprio. Poiché il controller di dominio è parte integrante di tutte le parti del dominio, è praticamente impossibile limitarne l'accesso senza compromettere le normali operazioni di rete. Poiché la vulnerabilità CVE-2023-21676 richiede l'autenticazione dell'utente, potrebbe aiutare i team IR durante il tracciamento (ma non aiuterà con la prevenzione preventiva).
Servizi di crittografia Microsoft
Il nome Servizi di crittografia è un po' criptico poiché può riferirsi a molte parti del sistema operativo (anche se in realtà dovrebbe riferirsi solo a una parte, CryptSvc, letteralmente servizio crittografico, ma il relativo file non è stato corretto.) C'è solo una vulnerabilità che indica quale parte del sistema è interessata: CVE-2023-21561 con CSRSS.
Questo mese sono presenti sei vulnerabilità CVE, tre per l'elevazione dei privilegi locali e tre per la divulgazione di informazioni locali. Queste vulnerabilità interessano tutti i computer Windows, sia server che desktop, quindi l'applicazione delle patch è fondamentale.
Numero CVE |
Effetto |
|---|---|
| CVE-2023-21561 | Elevazione dei privilegi da AppContainer a SISTEMA |
| CVE-2023-21730 | Elevazione dei privilegi a SISTEMA |
| CVE-2023-21551 | |
| CVE-2023-21559 | Divulgazione dei segreti crittografici di Windows |
| CVE-2023-21540 | |
| CVE-2023-21550 |
Servizi descritti in precedenza
Molte CVE presenti nel Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i nostri post precedenti.
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Elusione dell'autenticazione |
Rete |
||
Esecuzione di codice remoto (RCE) |
Autenticato almeno come membro del sito |
||
Autenticato con privilegio di creazione della pagina |
|||
Esecuzione di codice remoto (RCE) |
Rete |
||
Divulgazione delle informazioni |
Rete |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche.
