Il punto di vista di Akamai sulla Patch Tuesday di novembre 2023

Vulnerabilità sfruttate in rete

CVE-2023-36025 : Windows SmartScreen (CVSS 8.8)

Si tratta di una vulnerabilità di elusione della sicurezza, che ignora l'avviso di sicurezza di SmartScreen durante l'apertura di file di scelta rapida Internet (.URL) o collegamenti ipertestuali che puntano a questi file. I file di scelta rapida sono stati specificamente creati per attivare la vulnerabilità. Non è la prima volta che le vulnerabilità di elusione della sicurezza di SmartScreen sono state sfruttate attivamente dai criminali. Il team TAG (Threat Analysis Group) di Google ha rilevato e segnalato che il ransomware Magniber ha utilizzato una vulnerabilità di elusione della sicurezza Windows SmartScreen in passato.

CVE-2023-36036 : Windows Cloud Files Mini Filter Driver (CVSS 7,8)

Si tratta di una vulnerabilità di escalation dei privilegi, che consente ai criminali di ottenere i privilegi di sistema. Cloud Files Mini Filter fa parte dei motori di sincronizzazione del cloud, che forniscono l'accesso WinAPI per sincronizzare e utilizzare i file system basati su cloud. Il driver del filtro viene implementato nel file cldflt.sys.

CVE-2023-36033 : Windows DWM Core Library (CVSS 7,8)

Si tratta di un'altra vulnerabilità di escalation dei privilegi, questa volta in Windows Desktop Window Manager (DWM), che è responsabile della gestione delle finestre visualizzate sullo schermo. DWM fa parte di Windows dai tempi di Windows Vista ed è stato implementato nel processo del file dwm.exe. Questa vulnerabilità è specificamente presente nella libreria principale dwmcore.dll, che è caricata in questo processo.

Multicast generale pragmatico Windows 

Il multicast generale pragmatico Windows (PGM) è un protocollo progettato per distribuire pacchetti tra più membri della rete in modo affidabile. In Windows, l'implementazione di questo protocollo è definita come programmazione multicast affidabile. Una vulnerabilità critica legata all'esecuzione di codice remoto presente in questo protocollo, con un punteggio CVSS di 9,8, è stata corretta con questa Patch Tuesday.

A partire da Windows Server 2003, PGM si basa sui socket Windows. Nello spazio utente, è implementato in una libreria chiamata wshrm.dll (DLL helper di Windows Sockets per PGM, dove "rm" indica il multicast remoto). Nello spazio kernel, PGM è implementato tramite il driver rmcast.sys.

Secondo le mitigazioni di Microsoft sulle CVE, il servizio Accodamento messaggi deve essere in esecuzione per poterne sfruttare la vulnerabilità. Per impostazione predefinita, il servizio non è installato e deve essere aggiunto alla schermata Funzioni nel pannello di controllo.

Nelle nostre osservazioni, abbiamo notato che in circa il 50% degli ambienti nei server era installato e in esecuzione il servizio Accodamento messaggi e nel 25% di essi era installato PGM. Sebbene nella maggior parte dei data center solo pochi computer avessero attivato il servizio Accodamento messaggi, abbiamo notato ambienti in cui più server eseguivano il servizio.

Dal momento che la complessità degli attacchi per tutte le vulnerabilità è bassa, raccomandiamo di applicare le rilevanti patch ai server il prima possibile. Se l'applicazione di patch non è possibile a causa della continuità operativa o per qualche altro motivo, è consigliabile limitare almeno l'accesso al servizio, utilizzando le policy di segmentazione della rete . 

Poiché il servizio Accodamento messaggi è accessibile tramite la porta 1801, ma non molti client dovrebbero effettuare l'accesso (in quanto viene utilizzato principalmente dall'applicazione aziendale stessa), consigliamo di limitare l'accesso di rete arbitrario a tale porta e servizio. Provate a segmentarlo utilizzando policy di elenchi di elementi consentiti, consentendo l'accesso solo ai computer che ne hanno effettivamente bisogno.

Microsoft Protected Extensible Authentication Protocol 

Il PEAP (Protected Extensible Authentication Protocol) è un protocollo che integra l'EAP (Extensible Authentication Protocol) all'interno di una sessione TLS. Il protocollo EAP viene usato per l'autenticazione di dispositivi e connessioni sulle reti e per l'autenticazione delle reti Wi-Fi.

È possibile configurare i server Windows con un ruolo opzionale denominato NPS (Network Policy Server) da poter utilizzare per autenticare e accettare le richieste di connessione alla rete con i protocolli EAP e PEAP. Questa opzione non è abilitata per impostazione predefinita, ma il ruolo NPS deve essere installato e configurato manualmente. Dalle nostre osservazioni, risulta che solo il 21% delle reti disponeva di server NPS.

Dal momento che si suppone che il ruolo NPS sia centrale per la rete e per le richieste di autenticazione dei processi, potrebbe essere problematico applicarvi le policy di segmentazione. Al contrario, Microsoft afferma che una possibile mitigazione consisterebbe nel bloccare il PEAP nelle negoziazioni sui protocolli e fornisce due fonti per eseguire questa operazione.

Questo mese, è stata corretta una vulnerabilità critica legata all'esecuzione di codice remoto (CVE-2023-36028) con un punteggio di 9,8.