Il punto di vista di Akamai sulla Patch Tuesday di maggio 2023
Non molto tempo fa a Redmond, Washington, Stati Uniti…
È un periodo di guerra informatica. Gli amministratori di rete lavorano instancabilmente per applicare la nuova Patch Tuesday.
Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
Sembra che la Forza sia con noi questo mese, poiché questa volta ci sono solo 40 CVE, un numero molto inferiore rispetto ai mesi precedenti. Sette delle CVE corrette erano critiche (una delle quali è stata trovato dal nostro Ben Barnea), così come altre due con punteggi CVSS di 9,8 in PGM e NFS. Due delle CVE corrette sembra che siano state utilizzate nella realtà, il che consente di parlare di vulnerabilità zero-day corrette.
In questo rapporto, valuteremo quanto siano davvero critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati e forniremo un punto di vista realistico sui bug che sono stati corretti. Potete anche visualizzare una rapida panoramica in temo reale del giorno della patch sul nostro account Twitter. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto di aggiornamento e aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo rapporto, ci concentreremo sulle aree in cui i bug sono stati corretti:
Vulnerabilità sfruttate in rete
Windows Win32k - CVE-2023-29336
Questa è una vulnerabilità di elevazione dei privilegi locale in Win32k, che gestisce il sottosistema Windows nel kernel di Windows, principalmente GUI e gestione delle finestre. Questa vulnerabilità è stata rilevata dai ricercatori della sicurezza di Avast e può essere utilizzata per elevare il livello ai privilegi di sistema.
Avvio protetto - CVE-2023-24932
Questa vulnerabilità consente ai criminali di eludere l'avvio protetto, usato per garantire che venga utilizzato solo software attendibile per l'avvio del computer. È stata utilizzata da BlackLotus per caricare il proprio bootkit. Di per sé, la patch non mitiga il rischio rappresentato dalla vulnerabilità.
Gli amministratori devono inoltre aggiornare tutti i backup e i supporti di avvio di Windows, nonché applicare revoche e nuovi criteri. Microsoft ha pubblicato KB5025885 per fornire indicazioni su come implementare le modifiche.
Vulnerabilità rilevate dai ricercatori Akamai
Piattaforma MSHTML Windows - CVE-2023-29324
La vulnerabilità è correlata all'elusione di MapUrlToZone . La funzione analizza erroneamente un percorso specifico, risolvendolo come percorso locale sebbene sia remoto.
MapUrlToZone è stato utilizzato come mitigazione per la vulnerabilità critica di Outlook che è stata corretta a marzo, e quindi la nuova vulnerabilità consente nuovamente lo sfruttamento di tale vulnerabilità.
Abbiamo pubblicato un articolo dettagliato relativo a questo problema.
Windows SMB - CVE-2023-24898
I server che eseguono SMB tramite QUIC sono vulnerabili agli attacchi DoS (Denial-of-Service). La vulnerabilità può essere sfruttata facilmente senza autenticazione da parte dell'autore di attacchi. Poiché SMB su QUIC è una funzionalità relativamente nuova, non ci aspettiamo che un gran numero di computer sia vulnerabile.
Windows Network File System (NFS)
NFS (Network File System) è un protocollo di rete sviluppato originariamente da Sun Microsystems per consentire l'accesso remoto ai file sulla rete. Ne esiste un'implementazione in Microsoft Windows ed è possibile aggiungere il ruolo NFS per trasformarlo in un server NFS. Questo mese, sono presenti tre vulnerabilità, una delle quali critica, che possono causare l'esecuzione di codice remoto.
Analisi dell'ambito
Per poter essere utilizzata, la funzionalità NFS deve essere aggiunta a un server e client Windows. È inclusa nel ruolo del server Servizi di archiviazione e file in Windows Server.
NFS utilizza comunemente la porta 111 (porta EpMapper di Sun RPC: le prime versioni di NFS sono implementate su Sun RPC) e 2049. Esaminando vari data center, abbiamo scoperto che solo lo 0,1% potrebbe essere potenzialmente server NFSv4 e solo circa la metà di essi esegue Windows.
Consigli generali
In genere, vi consigliamo di verificare se è possibile aggiornare il vostro server NFS per utilizzare NFS v4.1, poiché è la versione più sicura. Questa volta, tuttavia, la vulnerabilità correlata all'esecuzione di codice remoto interessa solo NFS v4, quindi non possiamo consigliare un aggiornamento.
Consigliamo invece di applicare la segmentazione sui server NFS. Sarebbe necessario controllare e verificare se è possibile limitare (isolare) i client NFS a un gruppo più piccolo di server/workstation e limitare anche il traffico in uscita dal server NFS. Poiché si tratta di un server, le connessioni dovrebbero essere avviate per eventuali motivi. La segmentazione potrebbe limitare l'impatto di uno sfruttamento riuscito.
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|
Esecuzione di codice remoto (RCE) |
Rete |
|
Divulgazione delle informazioni |
||
DoS (Denial-of-Service) |
Windows Lightweight Directory Access Protocol (LDAP)
Il protocollo open source LDAP è stato progettato per consentire la connessione e l'esecuzione di query per database e servizi di directory. Il controller di dominio di Active Directory dispone di un'implementazione del server LDAP per consentire ai programmi e ai server esistenti che si basano su LDAP di utilizzare il controller di dominio esistente senza richiedere un server separato.
Questo mese, c'è una vulnerabilità nel servizio LDAP, che interessa i controller di dominio senza patch. CVE-2023-28283 è una vulnerabilità correlata all'esecuzione di codice remoto che può essere abusata prima dell'autenticazione.
Non possiamo applicare patch al nostro controller di dominio e rischiare di incorrere in problemi di downtime. È possibile mitigare altrove le vulnerabilità?
Non proprio. Poiché il controller di dominio è parte integrante di tutte le parti del dominio, è praticamente impossibile limitarne l'accesso senza compromettere le normali operazioni di rete. Anche il tracciamento di CVE-2023-28283 potrebbe essere difficile, poiché non richiede l'autenticazione. I team di risposta agli incidenti possono prestare attenzione alle sessioni LDAP di breve durata che non ricevono una risposta dal server. Ciò potrebbe indicare un tentativo di sfruttamento.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i nostri post precedenti.
Microsoft |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
|
Divulgazione delle informazioni |
Autenticazione locale |
|
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice remoto (RCE) |
Autenticazione con autorizzazioni del proprietario del sito |
||
Spoofing |
Autenticazione con autorizzazioni per la creazione del sito; potrebbe far trapelare l'hash NTLM |
||
Divulgazione delle informazioni |
Autenticato |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
DoS (Denial-of-Service) |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche visitare il nostro account Twitter per aggiornamenti in tempo reale.
