Il punto di vista di Akamai sulla Patch Tuesday di gennaio 2024
Nuovo anno, nuove CVE. Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch. Delle 48 CVE che sono state rilevate in totale questo mese, solo 2 sono di importanza critica, anche se quest'anno abbiamo un bonus: 2 delle CVE per cui sono state rilasciate le patch questo mese sono state rilevate dai ricercatori di Akamai, Ben Barnea e Tomer Peled.
In questo blog, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Piattaforme HTML Windows
Anche se questo mese ci riferiamo alle piattaforme Windows HTML, riteniamo che questo nome si riferisce a Windows MSHTML come lo scorso mese. MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.
Il ricercatore di Akamai Ben Barnea ha trovato una CVE-2024-20652, una vulnerabilità di elusione della funzione di sicurezza con un punteggio CVSS di 7,5. Questa vulnerabilità è presente in MapUrlToZone, ossia una funzione che viene spesso richiamata per determinare se un URL punta ad una risorsa sul computer, all'interno della rete o su Internet.
Questa vulnerabilità è simile ad altre vulnerabilità rilevate in precedenzae forza il codice MapUrlToZone a concludere che un URL risiede nell'intranet, mentre l'URL in realtà punta ad una risorsa su Internet. È possibile sfruttare questa vulnerabilità per bypassare la patch CVE-2023-23397 di Outlook e, infine, causare una fuga delle credenziali NTLM in una destinazione remota (controllata dal criminale).
Windows Themes
Microsoft Themes è una funzione di Windows, che consente ad un utente di cambiare il modo di visualizzazione di icone o font, tra le altre opzioni disponibili. È una parte integrata di Windows.
Il ricercatore di Akamai Tomer Peled ha trovato una CVE-2024-21320, che viene classificata come vulnerabilità di spoofing con un punteggio CVSS di 6,5. Per maggior precisione, si tratta di una vulnerabilità di coercizione dell'autenticazione perché forza la vittima ad avviare un'autenticazione NTLM.
Per attivare la vulnerabilità, un utente deve solo visualizzare un tema dannoso tramite Explorer, senza effettuare altre operazioni (non è neanche necessario aprire esplicitamente il file del tema). Condivideremo ulteriori dettagli su questa vulnerabilità in un prossimo blog, quindi restate sintonizzati.
Un'altra CVE (CVE-2024-20691) è stata corretta in Windows Themes questo mese. Si tratta di una vulnerabilità di divulgazione delle informazioni in grado di rendere visibile la memoria heap ai criminali, purché riescano a vincere una race condition.
Windows Hyper-V
Windows Hyper-V è l'hypervisor nativo di Windows, che consente di ospitare le macchine virtuali (guest) su un unico computer host. La virtualizzazione è molto comune nelle reti aziendali poiché consente di risparmiare sui costi dell'hardware.
Nelle nostre osservazioni, il 90% degli ambienti includeva almeno un computer con Hyper-V abilitato (host) e una media del 25% dei sistemi Windows includeva un Hyper-V abilitato.
Questo mese, sono state rilasciate le patch per due vulnerabilità presenti in Hyper-V, una delle quali di importanza critica.
- CVE-2024-20699 è una vulnerabilitàDoS(Denial-of-Service) che può essere attivata sui computer guest vulnerabili dai criminali, purché dispongano dell'accesso locale a tali computer. La
- CVE-2024-20700 è una vulnerabilità critica , che consente l'esecuzione di codice in modalità remota (RCE) sui computer Hyper-V vulnerabili.
Mitigazione
Poiché le vulnerabilità CVE-2024-20700 richiede l'accesso alla rete, dovrebbe essere possibile usare la segmentazione della rete per limitare l'accesso agli host Hyper-V, riducendo così il rischio di attacchi. Non si tratta di un'alternativa all'applicazione delle patch, ma piuttosto di una soluzione a breve termine. Per rilevare gli host Hyper-V, potete utilizzare la seguente OSQuery:
Windows Kerberos
Kerberos è la colonna portante dell'architettura del dominio Windows. È il meccanismo di autenticazione predefinito che ha sostituito NTLM. Questo mese, è stata registrata una sola vulnerabilità critica in Kerberos, la CVE-2024-20674.
Secondo la relativa descrizione di Microsoft, si tratta di una vulnerabilità di impersonificazione, che richiede al criminale di stabilire un canale MITM (Machine-In-The-Middle) con il client della vittima, come se la connessione provenisse da un server di autenticazione.
Catena degli attacchi
In base alle nostre conoscenze, una catena di attacchi riusciti dovrebbe essere simile alla seguente:
- Il criminale stabilisce una posizione MITM con una vittima in vari modi, ad esempio tramite ARP, LLMNR o poisoning DNS. (Il ricercatore di Akamai Ori David di recente ha individuato un nuovo vettore per stabilire un MITM tramite lo spoofing DNS DHCP).
- Il criminale invia un messaggio Kerberos dannoso alla vittima, facendole credere che il computer del criminale sia il server di autenticazione Kerberos.
- Una volta connesso il client al computer del criminale, quest'ultimo sfrutta la vulnerabilità per impersonificare il client, a nome del quale esegue varie operazioni all'interno del dominio.
Mitigazione
Poiché Kerberos è una parte integrante del dominio Windows, è fondamentale applicare le patch appropriate ai sistemi interessati non appena possibile, specialmente se la vulnerabilità è classificata come "sfruttamento più probabile". Poiché la vulnerabilità interessa i client di Kerberos, probabilmente non è sufficiente applicare le patch solo ai controller di dominio, ma invece è necessario estendere l'operazione a tutti i computer Windows esistenti nel dominio.
L'applicazione delle patch a tanti sistemi può richiedere del tempo, specialmente nei domini più grandi. Nel frattempo, possiamo fornire due suggerimenti utili per rilevare eventuali tentativi di sfruttamento della vulnerabilità.
- Vi consigliamo di analizzare il registro eventi di Windows cercando eventuali accessi anomali alla rete (ID evento 4624 o 4625). Se notate un utente che accede alla rete da un computer di cui non dovrebbe disporre o un tipo di accesso insolito (ad es., di rete o batch), dovreste cominciare a preoccuparvi.
- Poiché l'autenticazione Kerberos viene gestita dall'interfaccia RPC per netlogon, potete usare il registro RPC ETW per cercare i client connessi con netlogon ad un computer diverso dal controller di dominio. Il nostro strumento di visibilità RPC open-source può aiutarvi ad eseguire questa operazione.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Esecuzione di codice remoto (RCE) |
Locale; richiede all'utente di aprire un file dannoso |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice remoto (RCE) |
Rete |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.
