Il punto di vista di Akamai sulla Patch Tuesday di ottobre 2023
Come ogni mese, l'Akamai Security Intelligence Group ha esaminato le vulnerabilità più interessanti per cui sono state rilasciate le patch. Delle 105 CVE per cui sono state rilasciate le patch questo mese, 12 di esse sono critiche. Il valore CVE più alto è 9,8. Sono state anche segnalate tre vulnerabilità che sono state sfruttate in rete.
Il rapporto di questo mese è più breve del solito perché si focalizza sulle vulnerabilità che sono state sfruttate in rete.
Vulnerabilità sfruttate in rete
CVE-2023-44487 - Attacco HTTP/2 Rapid Reset (CVSS 7,5)
Si tratta di una vulnerabilità DoS (Denial-of-Service) che è stata rilevata e segnalata da Google, Cloudflaree Amazon. La vulnerabilità è stata sfruttata dal più vasto attacco DDoS (Distributed Denial-of-Service) mai sferrato in tutta la storia e si basa su una tecnica denominata "Rapid Reset" in HTTP/2, che, a sua volta, sfrutta lo stream multiplexing.
Mitigazione
Questo attacco, anche se nuovo, è sferrato al livello del protocollo e viene mitigato da Akamai per conto dei suoi clienti come per qualsiasi altro attacco DDoS di livello 7 che utilizza le funzionalità dei prodotti di sicurezza, come controlli della velocità, WAF (Web Application Firewall), Bot Manager Premier o Client Reputation.
I server web non protetti da Akamai che utilizzano il protocollo HTTP/2 devono installare le patch dei vendor o disattivare il protocollo HTTP/2 per impedire lo sfruttamento di questa CVE.
Microsoft suggerisce una soluzione alternativa con la disattivazione del protocollo HTTP/2 tramite le due chiavi del Registro di sistema, EnableHttp2TIs e EnableHttp2Cleartext. Ecco una query Osquery che i clienti di Akamai Guardicore Segmentation possono utilizzare per leggere questo valore sui server in rete:
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 - Vulnerabilità di divulgazione di informazioni in Microsoft WordPad (CVSS 6,5)
Questa vulnerabilità consente ad un criminale di divulgare l'hash NTLM di una vittima. La vulnerabilità viene sfruttata eseguendo un'applicazione appositamente creata, ma anche convincendo la vittima ad aprire un file dannoso. Non disponiamo di dettagli completi su come vengano divulgate queste credenziali, ma è probabile che l'attacco riesca a divulgarle tramite SMB.
Microsoft WordPad è installato su ogni endpoint Windows.
Mitigazione
A parte l'applicazione di patch, consigliamo di effettuare quanto segue:
Utilizzare la microsegmentazione per bloccare il traffico SMB (porta TCP 445) dal processo di WordPad (wordpad.exe) verso le destinazioni in Internet.
In Windows 11, è possibile disattivare l'invio automatico di hash NTLM a posizioni remote tramite le policy di gruppo: Modelli amministrativi > Rete > Workstation Lanman > Blocca NTLM.
CVE-2023-41763 - Vulnerabilità di elevazione dei privilegi in Skype for Business (CVSS 5,3)
L'ultima vulnerabilità sfruttata in rete si trova in Skype for Business. Un criminale può effettuare una chiamata speciale al server Skype for Business preso di mira, che effettua una richiesta ad un indirizzo (controllato dal criminale) arbitrario e divulga gli indirizzi IP e/o i numeri di porta. Poiché tali informazioni possono, a volte, fornire l'accesso a reti interne, a questa vulnerabilità viene assegnata una classe di elevazione dei privilegi.
Mitigazione
Consigliamo ai clienti di applicare le patch ai propri server Skype come richiesto da Microsoft
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche visitare il nostro account Twitter per aggiornamenti in tempo reale.
