Il punto di vista di Akamai sulla Patch Tuesday di settembre 2024
Si ritorna tutti a scuola! La nostra materia principale: analisi delle CVE. Come ogni mese, l'Akamai Security Intelligence Group ha deciso di esaminare le vulnerabilità più interessanti per cui sono state rilasciate le patch.
In questo blog, valuteremo quanto siano critiche le vulnerabilità e quanto siano comuni le applicazioni e i servizi interessati per fornirvi un punto di vista realistico sui bug che sono stati corretti. Date un'occhiata a queste informazioni i giorni successivi alla pubblicazione della Patch Tuesday.
Questo è un rapporto che viene continuamente aggiornato, pertanto aggiungeremo ulteriori informazioni man mano che la nostra ricerca avanza: restate sintonizzati!
In questo mese, ci concentreremo sulle seguenti aree in cui i bug sono stati corretti:
Vulnerabilità rilevate in rete
CVE-2024-43491 : Microsoft Windows Update (CVSS 9,8)
Un problema riscontrato con l'aggiornamento di sicurezza di marzo ha attivato un bug nella parte di Windows Update che gestisce i componenti opzionali. Pertanto, Windows Update ha stabilito che non era possibile applicare gli aggiornamenti successivi e ha ripristinato i componenti interessati alle loro versioni base.
Secondo Microsoft, il bug presente in Windows Update non è stato sfruttato pubblicamente, ma, invece, sono state sfruttate pubblicamente le vulnerabilità di alcuni componenti interessati e, di conseguenza, le categorizzazioni.
Per risolvere questa CVE, è necessario installare l'aggiornamento di sicurezza KB5043083 e l'aggiornamento di manutenzione KB5043936.
I componenti interessati sono:
Active Directory Lightweight Directory Services
Administrative Tools
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD Print Service
Microsoft Message Queue (MSMQ) Server Core
MSMQ HTTP Support
MultiPoint Connector
SMB 1.0/CIFS File Sharing Support
Windows Fax and Scan
Windows Media Player
Work Folders Client
XPS Viewer
Per verificare se questi componenti sono attivati sul computer, è possibile usare la seguente OSQuery:
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 - Windows Installer (CVSS 7,8)
Windows Installer (msiexec.exe) è il componente di Windows responsabile della gestione e dell'installazione dei file .msi. Non abbiamo molte informazioni su questa vulnerabilità, ma, poiché è stata sfruttata nei privilegi di sistema, il problema potrebbe essere presente nel servizio dei Windows Installer (che punta anch'esso a msiexec) e non solo nel file binario.
CVE-2024-38226 - Microsoft Publisher Security Features (CVSS 7,3)
Le funzioni di sicurezza di Microsoft Publisher sono progettate per proteggere gli utenti dai documenti dannosi di Microsoft Office. I criminali possono incorporare pezzi di codice dannosi, sotto forma di macro, nei documenti di Office. Le funzioni di sicurezza di Publisher impediscono l'esecuzione automatica di macro, visualizzando, al contrario, un messaggio pop-up per chiedere agli utenti se desiderano confermare l'esecuzione.
La CVE-2024-38226 è una vulnerabilità che riesce a bypassare queste protezioni, consentendo l'esecuzione automatico del codice dannoso una volta aperto il documento.
CVE-2024-38217 - Windows Mark of the Web (CVSS 5,4)
Per il secondo mese consecutivo, è stata individuata un'altra vulnerabilità nella funzione Mark of the Web, che contrassegna i file potenzialmente pericolosi scaricati da Internet e visualizza l'avviso di sicurezza SmartScreen una volta aperti. Questa vulnerabilità riesce a bypassare l'avviso. La vulnerabilità richiede all'autore dell'attacco di creare un file in modo che Windows SmartScreen non possa controllare il file e quindi di eludere la schermata di avviso.
Lo scorso mese non è stata la prima volta in cui le vulnerabilità di bypass di SmartScreen sono state sfruttate attivamente dai criminali. Anche le patch di novembre 2023 e febbraio 2024 hanno incluso le correzioni necessarie per bypassare le vulnerabilità segnalate come sfruttate attivamente.
Oltre alle CVE sfruttate in rete, questo mese è stata corretta con patch un'altra CVE a cui è stato assegnato l'ID CVE-2024-43487, con un punteggio CVSS di 6,5.
Microsoft SharePoint è un sistema di gestione e archiviazione dei documenti basato su web che si integra con altri prodotti Microsoft Office. Questo mese sono presenti cinque CVE: due vulnerabilità per l'esecuzione di codice in modalità remota (RCE) con un punteggio CVSS di 8,8 (CVE-2024-38018) e di 7,2 (CVE-2024-43464). Poi, sono state identificate altre due vulnerabilità RCE e una CVE che consente di sferrare attacchi DoS (Denial-of-Service). La
CVE-2024-38018 richiede ai criminali di autenticarsi sul server SharePoint con un account che disponga almeno delle autorizzazioni SiteMember. Non abbiamo informazioni sulle operazioni che il criminale deve eseguire per attivare l'esecuzione di codice. Le vulnerabilità
CVE-2024-43464, CVE-2024-38227e CVE-2024-38228 richiedono autorizzazioni SiteOwner, ma anche il caricamento di un file appositamente creato e l'accesso a questo file tramite una richiesta API. In tal modo, viene attivata una deserializzazione dei parametri del file, che causa l'inserimento di codice nel processo del server SharePoint.
Nelle nostre osservazioni, abbiamo visto che in circa il 30% degli ambienti era presente almeno un computer su cui era installato un server SharePoint .
Poiché i server SharePoint sono solitamente destinati alla condivisione dei documenti, potrebbe essere difficile segmentare o limitare l'accesso degli utenti senza incidere sulle normali operazioni. Pertanto, vi consigliamo di applicare le patch ai server il prima possibile.
Tuttavia, poiché le CVE di tipo RCE richiedono l'autenticazione dell'utente, potrebbe essere possibile mitigare alcuni rischi rafforzando l'accesso degli utenti o aumentando la sensibilità degli avvisi sulle attività o gli accessi sospetti degli utenti.
Windows Network Address Translation (NAT)
Network Address Translation (NAT) è un servizio di rete che associa più indirizzi IP ad un solo indirizzo. Il suo scopo principale è separare la rete associando l'intervallo degli indirizzi IP di tutta la rete interna ad un solo IP esterno.
Questo mese, la CVE-2024-38119 è una vulnerabilità RCE critica presente in Windows NAT che richiede il raggiungimento di una race condition per essere sfruttata. Non è chiaro quale specifico componente di Windows sia responsabile del servizio NAT, che, poiché si verifica nel consueto stack di rete, probabilmente la segmentazione non è una possibile mitigazione. Pertanto, vi consigliamo di applicare la patch appropriata come unica soluzione.
Microsoft SQL Server
Questo mese, sono presenti 13 CVE in Microsoft SQL Server (MSSQL). Nove di queste vulnerabilità riguardano la funzione Native Scoring del server MSSQL (che è una funzione di apprendimento automatico per predire i valori dei dati in base a modelli prestabiliti) e, di queste nove, sei sono di tipo RCE. Altre quattro CVE sono presenti nel server MSSQL nativo.
Dal momento che, in genere, i server SQL contengono informazioni sensibili, dovrebbero essere segmentati e disporre di restrizioni per il controllo degli accessi, onde evitare il furto di dati. Se non avete messo in atto una policy del genere, è il momento giusto per farlo. Mappate i vostri server MSSQL esistenti (cercando il servizio MSSQL oppure le connessioni sulle porte 1433 e 1434).
Dopo aver mappato i server esistenti, create delle policy di segmentazione sul traffico esistente e sugli altri segmenti che dovrebbero accedervi (ad esempio, dall'IT a tutti i reparti, all'interno del settore finanziario, ecc.). È anche una buona occasione per vedere chi sta accedendo a database che non dovrebbe toccare.
Dalle nostre osservazioni, risulta che il 75% delle reti dispone di server MSSQL.
Servizio |
Numero CVE |
Effetto |
|---|---|---|
Microsoft SQL Server Native Scoring |
Esecuzione di codice remoto |
|
Divulgazione delle informazioni |
||
Microsoft SQL Server |
||
Elevazione dei privilegi |
||
Servizi descritti in precedenza
Molte CVE presenti nella Patch Tuesday di questo mese riguardano sistemi che abbiamo già esaminato in passato. Se siete interessati alla nostra analisi o alle raccomandazioni generali per tali servizi, vi invitiamo a consultare i post precedenti con i nostri punti di vista sulle Patch Tuesday .
Servizio |
Numero CVE |
Effetto |
Accesso richiesto |
|---|---|---|---|
DoS (Denial-of-Service) |
Rete |
||
Elevazione dei privilegi |
Rete |
||
Esecuzione di codice remoto |
Rete, con servizio NetNAT attivato |
||
Spoofing |
Rete |
||
Esecuzione di codice remoto |
Rete, qualsiasi utente autenticato |
||
Divulgazione delle informazioni |
Rete |
||
DoS (Denial-of-Service) |
|||
Spoofing |
Questa analisi intende fornire una panoramica delle nostre conoscenze attuali e offrire suggerimenti sulla base delle informazioni disponibili. La nostra revisione è continua e tutte le informazioni contenute in questa analisi sono soggette a modifiche. Potete anche seguirci su X(in precedenza, noto come Twitter) per aggiornamenti in tempo reale.