Il punto di vista di Akamai sulla Patch Tuesday di maggio 2024
C'è un solo Star Wars Day all'anno, ma ci sono 12 Patch Tuesday: una proporzione per me inaccettabile...
Comunque, in questo aggiornamento di maggio, sono riportate 59 CVE, di cui solo una critica (in Microsoft SharePoint Server), ma anche le patch per due vulnerabilità sfruttate in rete.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità sfruttate in rete
CVE-2024-30040 : piattaforma Windows MSHTML
MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.
Sono state rilevate numerose vulnerabilità nella piattaforma MSHTML (incluse alcune individuate dai ricercatori di Akamai), che vengono sfruttate in modo interessante dai criminali a causa della loro capacità di aggirare i meccanismi di difesa e per il fatto di risultare una funzionalità integrata in Windows.
Questa volta, secondo il MSRC (Microsoft Security Response Center), la vulnerabilità bypassa le mitigazioni OLE in Microsoft 365 e Microsoft Office. Per sfruttare la vulnerabilità, i criminali devono indurre gli utenti a scaricare e aprire un file dannoso tramite una qualche forma di social engineering e, una volta aperto il file dannoso e attivata la vulnerabilità, il codice viene eseguito sul computer della vittima
CVE-2024-30051 : Windows DWM Core Library
A differenza della vulnerabilità precedente, si tratta di una vulnerabilità di escalation dei privilegi in Windows Desktop Window Manager (DWM). Il DWM è responsabile della gestione delle finestre visibili sullo schermo, fa parte di Windows dai tempi di Windows Vista ed è stato implementato nel processo del file dwm.exe.
Questa vulnerabilità è stata rilevata da Kasperskyed è stata sfruttata nella campagna di trojan QakBot.
Microsoft SharePoint è un sistema di gestione e archiviazione dei documenti basato su web che si integra con altri prodotti Microsoft Office. Questo mese sono presenti due CVE: una riguarda una vulnerabilità per l'esecuzione di codice in modalità remota (RCE) con un punteggio CVSS di 8,8 (CVE-2024-30044) e l'altra riguarda una vulnerabilità di divulgazione delle informazioni con un punteggio CVSS di 6,5 (CVE-2024-30043).
CVE-2024-30044 : questa vulnerabilità richiede ai criminali di autenticarsi sul server SharePoint con un account che disponga almeno delle autorizzazioni SiteOwner. Dopo l'autenticazione, i criminali devono caricare un file creato e accedervi utilizzando una richiesta API. In tal modo, viene attivata una deserializzazione dei parametri del file, che causa l'inserimento di codice nel processo del server SharePoint. Secondo l'MSRC, questa vulnerabilità ha maggiori probabilità di essere sfruttata, ossia non è complessa da attivare nonostante i numerosi passaggi coinvolti.
CVE-2024-30043 : anche questa vulnerabilità richiede l'autenticazione e consente ai criminali di ottenere il contenuto del file sul server. A seconda dei privilegi utente di cui dispongono i criminali, il numero dei file a cui possono accedere aumenta.
Nelle nostre osservazioni, abbiamo visto che in circa il 30% degli ambienti era presente almeno un computer su cui era installato il server SharePoint.
Poiché i server SharePoint sono solitamente destinati alla condivisione dei documenti, potrebbe essere difficile segmentare o limitare l'accesso degli utenti senza incidere sulle normali operazioni. Pertanto, vi consigliamo di applicare le patch ai server il prima possibile.
Tuttavia, poiché entrambe le CVE richiedono l'autenticazione dell'utente, potrebbe essere possibile mitigare alcuni rischi rafforzando l'accesso degli utenti o aumentando la sensibilità degli avvisi sulle attività o gli accessi sospetti degli utenti.
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Esecuzione di codice remoto (RCE) |
Rete |
||
Esecuzione di codice remoto |
Rete, l'utente deve connettersi a un server SQL dannoso |
||
DoS (Denial-of-Service) |
Rete |
||
Divulgazione delle informazioni |
Locale |
||
Spoofing |
Rete, autenticazione richiesta |
||
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.