Una delle falle zero-day chiuse è già stata sfruttata in almeno un attacco. Attenzione anche alla vulnerabilità RCE nel Windows TCP/IP: ha un indice di gravità di 9.8.
Nel tradizionale appuntamento mensile con il Patch Tuesday Microsoft ha pubblicato le correzioni per 63 vulnerabilità, di cui una zero-day di Windows attivamente sfruttata. Gli aggiornamenti riguardano il sistema operativo Windows, Office, SharePoint, .Net Framework, Windows Defender e diversi componenti di Windows. Cinque falle sono classificate come "critiche" in quanto consentono l'esecuzione di codice da remoto. Per quanto riguarda le altre, 18 vulnerabilità sono legate all’escalation dei privilegi, una è di bypass delle funzionalità di sicurezza, sette aprono ad attacchi di tipo Denial of Service.
Concentrandoci sulle falle zero-day, sono due quelle chiuse con gli aggiornamenti di questo mese, di cui solo una è attivamente sfruttata. Parliamo di quella monitorata con la sigla CVE-2022-37969 e legata all’escalation di privilegi, che interessa tutte le versioni del sistema operativo Windows. È a carico del driver del Common Log File System (CLFS) di Windows, e il suo sfruttamento consente all’attaccante di ottenere i privilegi di SYSTEM.
La scoperta è accreditata ai ricercatori di DBAPPSecurity, Mandiant, CrowdStrike e Zscaler. L'attacco richiede che l'attaccante abbia accesso e capacità di eseguire codice sul sistema di destinazione. Questo implica lo sfruttamento concatenato di più vulnerabilità, che secondo Chris Goettl, Vice President of Product Management di Ivanti, è una pratica piuttosto comune, quindi non è da considerare un disincentivo agli attacchi.
Sebbene la vulnerabilità in questione sia ufficialmente classificata come “importante”, il fatto che sia stato rilevato il suo impiego in almeno un attacco equivale a una gravità critica. Oltre tutto, gli attaccanti che ne hanno fatto uso potrebbero già avere divulgato la tecnica impiegata rendendone più semplice lo sfruttamento.
L'altra vulnerabilità divulgata pubblicamente è tracciata come "CVE-2022-23960 - Arm: CVE-2022-23960 Cache Speculation Restriction Vulnerability". Riguarda i sistemi Windows 11 basati su ARM e potrebbe consentire la Cache Speculation Restriction (CVE-2022-23960).
Partiamo con una vulnerabilità legata all'esecuzione di codice da remoto (RCE) nel Windows TCP/IP. È monitorata con la sigla CVE-2022-34718 e potrebbe essere sfruttata da un attaccante non autenticato, il che significa che potrebbe essere "wormable". Per questo motivo gli è stato associato un punteggio CVSS di 9.8 su 10. La buona notizia è che interessa solo i sistemi che eseguono IPSec con IPv6 abilitato.
L’altro caso da tenere d’occhio è quello relativo alla falla CVE-2022-38005, legata all'escalation di privilegi nello spooler di stampa. PrintNightmare e altre vulnerabilità chiuse a carico dello spooler di stampa hanno portato all’incidenza di problemi, per questo Goettl esorta a testare questo aggiornamento con una certa attenzione per garantire che non si verifichino problemi.
L’ultima segnalazione riguarda una vulnerabilità di escalation dei privilegi in Azure ARC e Azure Guest Configuration. È tracciata con la sigla CVE-2022-38007 e può consentire a un attaccante di sostituire il codice fornito da Microsoft con uno di produzione propria.