Il punto di vista di Akamai sulla Patch Tuesday di novembre 2024

CVE-2024-43451 : piattaforma MSHTML Windows (CVSS 6,5)

Le note sulla CVE fanno riferimento al fatto che la piattaforma MSHTML è stata il componente interessato dalla vulnerabilità e su cui concentreremo quindi la nostra attenzione.

MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.

Sono state rilevate numerose vulnerabilità nella piattaforma MSHTML in passato (incluse alcune individuate dai ricercatori di Akamai), che vengono sfruttate in modo interessante dai criminali a causa della loro capacità di aggirare i meccanismi di difesa e per il fatto di risultare una funzionalità integrata in Windows.

Questa volta, sembra che un file appositamente progettato, quando viene aperto, riesca a far trapelare l'hash NTLMv2. L'NTLM è uno dei protocolli di autenticazione di Windows, pertanto far trapelare l'hash della password potrebbe condurre ad attacchi per l'inoltro dell'autenticazione oppure l'hash della password potrebbe essere usato per tentativi di violazione offline allo scopo di recuperare la password dell'utente in testo non crittografato.

VMSwitch è un componente di Hyper-V, ossia l'implementazione di un hypervisor di Microsoft. Oltre al suo utilizzo nell'esecuzione delle macchine virtuali, Hyper-V svolge un ruolo importante per la sicurezza delle versioni più recenti di Windows fornendo un hypervisor sicuro e con privilegi oltre il kernel.

VMSwitch è responsabile del traffico di rete tra le macchine virtuali (VM) ospitate su Hyper-V. Si tratta di un componente paravirtualizzato, ossia, viene eseguito direttamente sull'host quando interagisce con un guest Hyper-V, il che lo rende un bersaglio molto allettante per gli attacchi guest-to-host.

Sorprendentemente, la vulnerabilità CVE-2024-43625 consente proprio tutto ciò. Un criminale che esegue un guest Hyper-V può inviare al componente VMSwitch richieste per la connettività di rete appositamente concepite allo scopo di ottenere una primitiva UAF (Use-After-Free) , che può essere sfruttata per eseguire codice nel contesto dell'host. La situazione si fa ancora più allettante se si considera che Hyper-V è anche l'hypervisor di Microsoft Azure, pertanto l'impatto dello sfruttamento di questa vulnerabilità potrebbe essere significativo.

Non è la prima volta che il componente VMSwitch è stato preso di mira. In effetti, dalle ricerche che abbiamo condotto è emersa una vulnerabilità RCE critica con un punteggio di 9,9 che risale al 2021. Abbiamo presentato i nostri risultati in occasione dell'evento BlackHat che si è tenuto quest'anno.

Oltre alla vulnerabilità critica, sono state individuate altre due vulnerabilità CVE che riguardano Hyper-V:

È possibile rilevare l'utilizzo di Hyper-V tramite la seguente osquery:

Dalle nostre osservazioni, è emerso che nel 93% degli ambienti erano presenti computer con Hyper-V attivato, che hanno rappresentato, in media, il 25% dei sistemi in rete.

Kerberos è la colonna portante dell'architettura del dominio Windows. È il meccanismo di autenticazione predefinito che ha sostituito NTLM. Questo mese, è stata registrata una sola vulnerabilità critica in Kerberos, la CVE-2024-43639 (CVSS 9,8).

Un attacco che riesce a sfruttare questa vulnerabilità causa l'esecuzione di codice remoto e non richiede alcuna autenticazione. Questa capacità, insieme al fatto di trattarsi di una vulnerabilità crittografica, ci fa ritenere che l'attacco potrebbe prendere di mira il processo di preautenticazione di Kerberos, che si verifica con un accesso iniziale al dominio. Pertanto, l'attacco prende perlopiù di mira i controller di dominio, ma è possibile fare in modo che sia compatibile con qualsiasi altro computer Windows. Se la vulnerabilità crittografica, in realtà, non risiede nell'implementazione dell'analisi dei ticket, è possibile applicarla durante le fasi successive del processo di autenticazione.

SMBv3 è un file server SMB eseguito tramite il protocollo QUIC, ossia un recente protocollo per il trasporto che è stato introdotto nel 2012 e standardizzato nel 2021. Per fare un esempio, il protocollo TCP è stato introdotto nel 1974 e standardizzato nel 1980. Progettato tramite UDP, supporta le funzioni di multiplexing, crittografia e molto altro. Microsoft ha integrato il protocollo QUIC anche in Windows, le cui versioni più recenti (Windows 11 e Server 2025) lo supportano già in vari modi.

Con la CVE-2024-43447, un client dannoso può attivare una vulnerabilità double-free sul server SMBv3 preso di mira, che, se viene violato, può condurre all'esecuzione di codice remoto. Anche se si tratta di un problema serio, il fatto che il protocollo QUIC non sia molto diffuso rende comunque il suo potenziale impatto sulla vita reale abbastanza basso. In effetti, dalle nostre osservazioni è emerso che solo nell'8% degli ambienti sono presenti server con il protocollo QUIC attivato e, in questi ambienti, la percentuale con server SMBv3 è ancora più bassa poiché non si tratta dell'impostazione predefinita.

Gli amministratori di rete più preoccupati possono restringere il traffico QUIC con la segmentazione perché le comunicazioni avvengono tramite la porta UDP 443. In alternativa, possono disattivare il supporto del protocollo QUIC sui propri file server SMB, se presenti.

Oltre a questa vulnerabilità, è stata individuata un'altra vulnerabilità Dos (Denial-of-Service) nei normali file server SMB: CVE-2024-43642.

Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .