Il punto di vista di Akamai sulla Patch Tuesday di giugno 2024
Questo mese è tranquillo, probabilmente perché tutti sono impegnati a celebrare i Pride. Alleiamoci TUTTI contro le gravi vulnerabilità della sicurezza.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
Nella Patch Tuesday di giugno 2024, sono state rilasciate le patch per 49 vulnerabilità, di cui una critica in Accodamento messaggi Microsoft (MSMQ) e una vulnerabilità con un punteggio CVSS elevato (9,8) in Azure Data Science Virtual Machine (DSVM).
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Accodamento messaggi Microsoft (MSMQ)
Il servizio MSMQ è una funzionalità opzionale in Windows che viene utilizzata per il recapito di messaggi tra diverse applicazioni. Pur essendo opzionale, viene utilizzata in background da molte applicazioni aziendali per Windows, come Microsoft Exchange Server. Da quanto abbiamo osservato, è emerso che il servizio è stato installato in quasi il 74% degli ambienti, solitamente su più di un computer.
Questo mese, è stata corretta una vulnerabilità critica legata all'esecuzione di codice (RCE), la CVE-2024-30080, che può consentire ai criminali di eseguire codice da remoto inviando un pacchetto creato appositamente al server MSMQ della vittima.
Poiché il servizio MSMQ è accessibile tramite la porta 1801, ma non molti client dovrebbero effettuare l'accesso (in quanto viene utilizzato principalmente dall'applicazione aziendale stessa), consigliamo di limitare l'accesso di rete arbitrario a tale porta e servizio. Questa è anche la mitigazione consigliata da Microsoft per la vulnerabilità.
Provate a segmentare il servizio utilizzando policy di elenchi di elementi consentiti per autorizzare l'accesso solo ai computer che ne hanno effettivamente bisogno. Per assistenza con la segmentazione, potete fare riferimento al nostro post del blog (Micro) segmentazione da un punto di vista pratico (in modo specifico alle sezioni relative a isolamento delle applicazioni e microsegmentazione .
Azure Data Science Virtual Machine (DSVM)
Azure Data Science Virtual Machine è un tipo di immagine di macchina virtuale personalizzata disponibile sulla piattaforma cloud Azure che viene preinstallata con vari strumenti e programmi necessari per il data science. La CVE-2024-37325 , una vulnerabilità di elevazione dei privilegi (EoP), interessa le DSVM Ubuntu con versioni precedenti alla 24.05.24.
Non si tratta di una tipica EoP in cui un criminale ottiene l'elevazione dei privilegi dopo aver sfruttato la vulnerabilità, ma, in questo caso, sembra che ci sia una sorta di perdita di dati che si origina in uno dei servizi installati sulle macchine virtuali. Un criminale non autenticato che invia una richiesta specifica può divulgare le credenziali di utenti autorizzati e utilizzarle per accedere alle macchine virtuali.
Microsoft ha fornito alcune linee guida su come aggiornare le macchine interessate. Inoltre, poiché (ci) sembra che il problema riguardi uno dei servizi installati, consigliamo di controllare tutte le porte su cui sono in ascolto le macchine e di provare a delimitarle per impedire l'accesso esterno
Windows Link Layer Topology Discovery Protocol e Windows Wi-Fi Driver
Windows Link Layer Topology Discovery Protocol è un protocollo proprietario Microsoft utilizzato per mappare i dispositivi in modo da comprendere la topologia della rete. Sebbene il protocollo supporti più tipi di reti (cablate, wireless e persino elettriche), entrambe le vulnerabilità corrette con patch questo mese riguardano la scheda di rete Wi-Fi, quindi abbiamo unito la nostra discussione con la vulnerabilità del driver Wi-Fi.
Poiché le vulnerabilità riguardano tutte il Wi-Fi, un criminale dovrebbe trovarsi nelle immediate vicinanze per poterle sfruttare, quindi se seguite semplicemente la regola secondo cui il pericolo proviene dall'esterno, non potrete sbagliarvi.
Scherzi a parte, l'implementazione del protocollo Wi-Fi non rientra nell'ambito della maggior parte dei firewall o dei prodotti di segmentazione, poiché si tratta di dati trasferiti tramite le reti e non della configurazione delle reti stesse. Pertanto, in realtà non esiste una mitigazione per questa vulnerabilità oltre all'applicazione di una patch (o una gabbia di Faraday, ma, in questo caso, non si avrebbe nemmeno un normale Wi-Fi), quindi consigliamo di applicare la patch il prima possibile.
Servizio |
Numero CVE |
Effetto |
|---|---|---|
Windows Link Layer Topology Discovery Protocol |
Esecuzione di codice remoto |
|
Windows Wi-Fi Driver |
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Divulgazione delle informazioni |
Locale |
||
Esecuzione di codice remoto |
Locale: un criminale deve convincere la vittima ad aprire un file dannoso |
||
DoS (Denial-of-Service) |
Rete |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
DoS (Denial-of-Service) |
Locale |
||
Divulgazione delle informazioni |
Locale |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.