Il punto di vista di Akamai sulla Patch Tuesday di luglio 2023
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
Questa volta ci sono 130 CVE, 9 delle quali critiche. Sono quasi il doppio del numero dello scorso mese. Quattro delle CVE critiche (in RRAS e MSMQ) hanno un punteggio CVSS di 9,8 quindi decisamente elevato. Sono state anche segnalate quattro vulnerabilità sfruttate in rete.
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Potete anche visualizzare un rapido riepilogo della patch sul nostro account Twitter. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Vulnerabilità sfruttate in rete
CVE-2023-32046 — Piattaforma MSHTML Windows (CVSS 7.8)
Questa vulnerabilità nella piattaforma MSHTML può consentire agli autori di attacchi di ottenere i privilegi dell'utente vittima dell'attacco. MSHTML è il motore del browser di Microsoft e le note sulla patch menzionano che un utente deve aprire un file appositamente predisposto o accedere a un sito web dannoso che ospita quel file, quindi è probabilmente una sorta di risorsa web: un file HTML o JavaScript. Indipendentemente da ciò, la vulnerabilità richiede agli utenti di rispondere a una sorta di social engineering e aprire un file dannoso. Ci sono altre due CVE corrette in MSHTML questo mese (che non sono note per essere sfruttate in rete), maggiori informazioni sono riportate più avanti in questo post.
CVE-2023-32049 — Windows SmartScreen (CVSS 8.8)
Si tratta di una vulnerabilità di elusione della sicurezza, che ignora l'avviso di sicurezza di SmartScreen durante l'apertura di file scaricati da Internet o altrimenti non sicuri. Non è la prima volta che le vulnerabilità di bypass di SmartScreen vengono sfruttate attivamente dagli autori delle minacce. Threat Analysis Group di Google (Google TAG) ha rilevato e segnalato che il ransomware Magniber ha utilizzato una vulnerabilità simile in passato.
CVE-2023-36874 — Servizio di segnalazione errori di Windows (CVSS 7.8)
Si tratta di una vulnerabilità legata all'elevazione dei privilegi che richiede agli autori di attacchi di disporre già dell'accesso locale al computer. Secondo le note, gli autori di attacchi devono essere in grado di creare cartelle e tracce delle performance sul computer locale, il che richiede privilegi utente limitati che di solito non sono disponibili. Questa CVE è stata segnalata anche da Google TAG.
CVE-2023-35311 — Microsoft Outlook (CVSS 8.8)
Si tratta di un'altra vulnerabilità di elusione della sicurezza, questa volta in Outlook. La vulnerabilità consente agli autori di attacchi di aggirare l'avviso di sicurezza di Outlook quando fanno clic sugli hyperlink.
CVE-2023-36884 — Office e Windows HTML (CVSS 8.3)
L'11 luglio, Microsoft ha rilasciato un avviso relativo a una vulnerabilità legata all'esecuzione di codice in modalità remota che viene attivamente sfruttata in rete. La vulnerabilità interessa più prodotti Microsoft e si basa sull'attirare le vittime ad aprire documenti dannosi.
La vulnerabilità viene sfruttata dall'autore di attacchi RomCo nelle campagne di phishing, inclusa una rivolta ai partecipanti al recente vertice NATO in Lituania. La vulnerabilità non ha alcuna correzione al momento, ma ma esistono diverse mitigazioni per essa.
Driver di rete Windows Layer 2 Bridge
Il driver di rete Layer 2 Bridge fa parte dell'ecosistema di container Windows. Il driver è responsabile per le Reti L2bridge, che consente ai container di connettersi direttamente alla rete fisica dell'host. Ci sono due vulnerabilità in questo driver questo mese: una vulnerabilità di divulgazione di informazioni CVSS 6.5 (CVE-2023-32037) e una vulnerabilità critica di esecuzione di codice remoto (CVE-2023-35315). Secondo le note CVE, la vulnerabilità critica consente un'elusione da guest a host. Poiché L2bridge consente ai container o alle macchine virtuali di scrivere direttamente sull'hardware fisico condiviso con il sistema operativo host, una vulnerabilità nel driver consente al codice dannoso di ignorare il limite guest-host.
L'ecosistema di container di Windows viene fornito come funzionalità facoltativa denominata Container. Non è disponibile immediatamente e richiede un'installazione mirata. Abbiamo visto che circa il 35% degli ambienti monitorati ha macchine Windows con con la funzionalità facoltativa dei container abilitata.
Piattaforma MSHTML Windows
MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM per consentire ai programmi di aggiungere funzionalità di rendering web. Viene utilizzato anche da Internet Explorer e dalla modalità Internet Explorer di Microsoft Edge. Oltre alla vulnerabilità di escalation dei privilegi riscontrata in natura (vedere la sezione in rete ), esistono altre due vulnerabilità di elusione della sicurezza: CVE-2023-35336 e CVE-2023-35308. Dalle note sulle due vulnerabilità, sembra che MSHTML non riesca a convalidare correttamente la zona di sicurezza per URL specifici; ad esempio, può confondere un URL esterno con uno locale. Non siamo estranei alle zone di sicurezza, poiché il nostro Ben Barnea ha trovato una vulnerabilità simile in MapUrlToZone, ossia la funzione che viene spesso utilizzata per determinare se un URL è un percorso Internet, un percorso locale (alla macchina/rete), ecc.
Windows Routing and Remote Access Service (RRAS)
Il Routing and Remote Access Service (RRAS) è un servizio Windows che consente al sistema operativo di comportarsi come un router, consentendo connessioni da sito a sito tramite VPN o dial-up. Esistono tre vulnerabilità critiche nel servizio questo mese, tutte con l'alto punteggio CVSS di 9,8. Le note sulla patch non ci dicono molto, tranne che i pacchetti appositamente predisposti inviati al server possono attivare l'esecuzione di codice in modalità remota.
RRAS non è disponibile su tutti i server Windows, fa parte del ruolo di accesso remoto e deve essere installato in modo specifico. Nelle nostre osservazioni, abbiamo visto che in circa il 15% degli ambienti erano presenti server Exchange locali con il ruolo di accesso remoto installato.
Runtime RPC (Remote Procedure Call)
Ci sono 14 diverse CVE di runtime RPC corrette questo mese, la maggior parte delle quali per attacchi denial-of-service. Solo una CVE (CVE-2023-35300) può ottenere l'esecuzione di codice in modalità remota e le note sulla patch non ci dicono molto altro. Decompilando la patch, vediamo che il team &MORSE (Microsoft Offensive Research Security Engineering) sembra aver svolto un lungo lavoro sul motore di annullamento del marshalling NDR. Abbiamo scritto in modo approfondito su MS-RPC, quindi se desiderate saperne di più, potete molti link ad articoli utili e strumenti nel nostro kit di strumenti RPC.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Microsoft |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Elusione delle funzioni di sicurezza |
Rete |
||
Spoofing |
|||
Esecuzione di codice remoto (RCE) |
|||
DoS (Denial-of-Service) |
Rete |
||
Elevazione dei privilegi |
Locale |
||
Elusione delle funzioni di sicurezza |
Rete |
||
Elusione delle funzioni di sicurezza |
Rete |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
DoS (Denial-of-Service) |
|||
Esecuzione di codice remoto (RCE) |
Rete adiacente |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche visitare il nostro account Twitter per aggiornamenti in tempo reale.
