All’appuntamento mensile del Patch Tuesday non ci sono falle zero day. Ma è comunque bene prestare attenzione alle vulnerabilità corrette.
Sono state 49 le falle chiuse da Microsoft nel Patch Tuesday di gennaio 2024. Di queste, 12 consentono l’esecuzione di codice da remoto, 10 sono legate all'escalation di privilegi, 7 riguardano il bypass delle funzionalità di sicurezza. Così come a dicembre e a maggio 2023, l’appuntamento mensile con gli aggiornamenti è esente da bug zero day.
Detto questo, ci sono delle falle che meritano comunque attenzione. La prima è quella monitorata con la sigla CVE-2024-20677, ha un punteggio CVSS di 7.8 ed è relativa all'esecuzione di codice remoto in Office. Se adeguatamente sfruttata, consente agli attaccanti di creare documenti dannosi che aprono alla possibilità di eseguire codice da remoto. Dato che il problema riguarda il modello 3D FBX, Microsoft ha disabilitato per default la possibilità di inserire file FBX in Word, Excel, PowerPoint e Outlook sia per Windows che per Mac. Questo significa che le versioni di Office (Office 2019, Office 2021, Office LTSC per Mac 2021 e Microsoft 365) che avevano questa funzionalità abilitata non vi avranno più accesso, anche se i modelli 3D precedentemente inseriti da un file FBX nei documenti di Office continueranno a funzionare.
La vulnerabilità che desta maggiori preoccupazioni è la CVE-2024-20674, a cui è associato un punteggio CVSS di 9.0. Si tratta di un bug critico di Windows Kerberos che può consentire a un attaccante di aggirare la funzione di autenticazione. Microsoft spiega nella pagina di update che “un attaccante non autenticato potrebbe sfruttare questa vulnerabilità per attuare un attacco machine-in-the-middle (MITM) o un'altra tecnica di spoofing della rete locale, per poi farsi riconoscere come server di autenticazione Kerberos”.
Altri bug degni di nota sono il CVE-2024-20653 (punteggio CVSS di 7.8), una falla di escalation dei privilegi che influisce sul driver CLFS (Common Log File System), e il CVE-2024-0056 (punteggio CVSS di 8.7), un bypass di sicurezza che interessa System.Data.SqlClient e Microsoft.Data.SqlClient.
Chiudiamo con la vulnerabilità monitorata con il codice CVE-2024-20700 (punteggio CVSS di 7.5), relativa all'esecuzione di codice remoto in Windows Hyper-V. Non richiede né l'autenticazione né l'interazione dell'utente per ottenere l'esecuzione di codice da remoto. Il prerequisito per l'organizzazione di un attacco è la vittoria di una race condition.