Microsoft è protagonista a luglio di un Patch Tuesday ricco, in cui spiccano sei falle zero day. Attenzione a una vulnerabilità divulgata pubblicamente, che non è stata chiusa.
Il Patch Tuesday di luglio 2023 è stato piuttosto ricco: Microsoft ha chiuso 132 vulnerabilità, di cui sei attivamente sfruttate e 37 RCE, di cui nove sono state identificate come "critici". Attenzione al fatto che una delle falle RCE note rimane senza patch nonostante sia sfruttata in diversi attacchi rilevati da numerosi vendor. Fra le categorie più rilevanti è doveroso segnalare anche 37 falle legate all'escalation di privilegi.
Partiamo come sempre dalle falle più urgenti da chiudere perché sfruttate attivamente. La prima è monitorata con la sigla CVE-2023-32046 ed è legata all'escalation di privilegi nella piattaforma MSHTML di Windows. Viene sfruttata mediante l'apertura di un file appositamente predisposto, recapitato alla potenziale vittima come allegato via email o sottoforma di link a un sito web dannoso. La seconda falla zero day è contraddistinta dalla sigla CVE-2023-32049 e riguarda l'elusione della funzionalità di protezione di Windows SmartScreen. I cyber criminali hanno già approfittato di questo bug per bloccare l’avviso di protezione durante il download e l'apertura di file da Internet. La prima vulnerabilità RCE è la CVE-2023-36874, è sfruttata attivamente e nei casi individuati ha permesso agli attaccanti di ottenere privilegi di amministratore sul dispositivo Windows.
La falla su cui puntare l’attenzione questo mese è la zero day corrispondente alla sigla CVE-2023-36884 relativa a Office e Windows perché è divulgata pubblicamente ma non esiste una patch. Consente l'esecuzione di codice da remoto utilizzando documenti Microsoft Office appositamente predisposti. Nell’advisory si legge che "Microsoft è a conoscenza di attacchi mirati che tentano di sfruttare questa vulnerabilità” e sta esaminando tutte le segnalazioni. “Al termine di questa indagine, Microsoft intraprenderà le azioni appropriate per proteggere i nostri clienti” che potrebbero consistere in una patch nel prossimo Patch Tuesday o addirittura prima, a seconda del rischio che comporta questo problema. Passando oltre, chiude questa carrellata di zero day la vulnerabilità CVE-2023-35311 che è legata al bypass della funzione di protezione di Microsoft Outlook. Anche in questo caso risulta che gli attaccanti stessero sfruttando attivamente il bug per disattivare gli avvisi di sicurezza.
Chiudiamo con un avviso: Microsoft ha comunicato di avere revocato i certificati di firma del codice e gli account sviluppatore che sono stati sfruttati per aggirare i criteri di Windows e installare driver dannosi in modalità kernel. Sophos, Cisco Talos e Trend Micro hanno fornito all’azienda californiana tutti gli elementi per risalire all’origine del problema: diversi account sviluppatore legati al Microsoft Partner Center (MPC) venivano sfruttati per inviare driver dannosi con l’obiettivo di ottenere un certificato di firma validato da Microsoft. Con la sospensione degli account coinvolti il problema è risolto.