Il punto di vista di Akamai sulla Patch Tuesday di ottobre 2024
È iniziato un nuovo mese e abbiamo una pentola piena di CVE, ma, a differenza delle caramelle, non possiamo regalarle ai bambini in maschera la notte di Halloween. Questo mese, sono state rilasciate 117 CVE in totale in 60 diversi componenti, tre delle quali sono critiche, due delle quali sono state sfruttate in retee una è stata individuata da noi.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità rilevate in rete
CVE-2024-43572 : Microsoft Management Console (CVSS 7,8)
Microsoft Management Console (mmc.exe) è un'interfaccia grafica per vari componenti.
Windows Event Viewer, Services Manager, Task Scheduler sono tutti implementati come componenti snap-in per Microsoft Management Console, tra molti altri.
Anche gli stessi componenti snap-in sono file con estensione .msc, che indica a Management Console cosa visualizzare e quali funzionalità offrire (pertanto, se viene eseguito Event Viewer, ad esempio, in realtà "dietro le quinte" viene eseguito mmc.exe eventvwr.msc ).
La vulnerabilità sembra essere associato con il caricamento di file .msc non attendibili. Un utilizzo improprio potrebbe condurre ad un'esecuzione di codice remoto (RCE), dove, ovviamente, "remoto" in questo caso si riferisce alla distanza tra il criminale e la vittima. La vittima deve scaricare e aprire un file .msc dannoso per attivare la vulnerabilità. Oltre a correggere la vulnerabilità RCE, la patch di questo mese include anche una correzione che impedisce il caricamento di file .msc non attendibili.
CVE-2024-43573 - Piattaforma MSHTML Windows (CVSS 6.5)
MSHTML è un renderer di pagine web per il sistema operativo Windows. Espone un'interfaccia COM (Component Object Model) per consentire ai programmi di aggiungere funzionalità di rendering web. Viene usata da Internet Explorer, la modalità Internet Explorer di Microsoft Edge, Microsoft Outlook e altri programmi.
Sono state rilevate numerose vulnerabilità nella piattaforma MSHTML in passato (incluse alcune individuate dai ricercatori di Akamai), che vengono sfruttate in modo interessante dai criminali a causa della loro capacità di aggirare i meccanismi di difesa e per il fatto di risultare una funzionalità integrata in Windows.
Vulnerabilità rilevate dai ricercatori Akamai
CVE-2024-43532 : Remote Registry Service (CVSS 8,8)
Remote Registry Service in Windows consente l'interazione del Registro di sistema di Windows tra computer remoti e viene implementato tramite il protocollo RPC (Remote Procedure Call). La vulnerabilità CVE-2024-43532 è stata individuata da Stiv Kupchik , un ricercatore di Akamai, ed è stata divulgata a febbraio 2024.
La vulnerabilità, in realtà, è presente nel lato client dell'implementazione RPC di Remote Registry, nelle funzioni RegConnectRegistry e RegConnectRegistryEx. La causa principale risiede in un meccanismo di fallback nei protocolli di trasporto RPC. Anche se il traffico di Remote Registry viene, solitamente, gestito tramite le named pipe SMB, l'implementazione del client contiene un meccanismo di fallback nel protocollo TCP nel caso in cui la named pipe non sia disponibile. Inoltre, a differenza del traffico SMB, che utilizza le funzioni di autenticazione e crittografia, il traffico TCP effettua l'autenticazione senza controlli di integrità o crittografia, il che lo rende vulnerabile agli attacchi di inoltro NTLM.
Questa vulnerabilità verrà presentata in occasione della conferenza 2024 No Hat, quindi non perdete questo evento o leggete il relativo blog che verrà rilasciato dopo l'evento.
Microsoft Configuration Manager
Microsoft Configuration Manager fa parte della famiglia di software Intune, che è stata concepita per aiutare i responsabili IT a configurare e gestire un gran numero di computer e server Windows.
Sono molti i componenti presenti in una configurazione di Configuration Manager, ma quello che ci interessa è il suo database SQL. Secondo le note relative alla CVE-2024-43468e il suo codice identificativo, la vulnerabilità, se sfruttata, consente di eseguire vari comandi sul suo database (e, nel caso di un'installazione monolitica su un solo server, anche sul server Configuration Manager principale).
Poiché sono state rilasciate patch sia per Configuration Manager che per l'applicazione della sua console, il problema consiste forse nel fatto che i valori immessi sul server non sono ripuliti o convalidati prima di essere trasmessi al database (anziché un problema di sicurezza dello stesso database). Pertanto, la semplice protezione del database tramite la segmentazione non è probabile che sia in grado di ridurre l'impatto di questa vulnerabilità, anche se rimane comunque una buona misura di sicurezza.
Per rilevare le installazioni di Configuration Manager, è possibile, invece, utilizzare la seguente osquery:
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Windows Remote Desktop
Windows Remote Desktop viene usato per la connessione Desktop remoto tra computer Windows tramite RDP (Remote Desktop Protocol). Questo mese, sono state individuate molte vulnerabilità in diversi componenti di Windows Remote Desktop, pertanto verranno esaminate tutte insieme.
La principale è, ovviamente, la CVE-2024-43582 , una vulnerabilità RCE critica sul servizio lato server. Un criminale deve "solo" connettersi ad un server RDP, inviare spam con pacchetti creati a scopi dannosi e vincere una race condition, che può poi essere sfruttata per eseguire una RCE.
Poiché il protocollo RDP viene comunemente usato nelle reti, anche per il movimento laterale, si consiglia di creare apposite regole di policy per proteggerlo. Nelle nostre osservazioni, l'89% delle reti ha mostrato traffico RDP di Windows, mentre il 73% delle reti ha presentato traffico senza limitazioni.
La limitazione dell'accesso RDP ai computer degli utenti o solo a server pre-autorizzati (come le jumpbox) può ridurre enormemente il rischio presentato da queste vulnerabilità. Nel nostro blog sulla segmentazione, abbiamo descritto alcuni risultati immediati relativi all'accesso RDP. Indipendentemente dalle policy utilizzate, si consiglia di applicare le patch non appena possibile.
Componente |
Numero CVE |
Punteggio CVSS |
Effetto |
|---|---|---|---|
Remote Desktop Protocol Server |
8,1 |
Esecuzione di codice remoto |
|
Windows Remote Desktop Licensing Service |
7,5 |
||
Client desktop remoto |
8,8 |
||
8,8 |
|||
Windows Remote Desktop Services |
4,8 |
Manomissione |
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
Elevazione dei privilegi |
Rete, autenticata |
||
Divulgazione delle informazioni |
Rete |
||
Esecuzione di codice remoto |
Locale, richiede social engineering o phishing |
||
Esecuzione di codice remoto (RCE) |
Rete |
||
Elevazione dei privilegi |
Locale |
||
Esecuzione di codice remoto (RCE) |
Rete |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.