▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Patch Tuesday di settembre 2024: chiuse 79 falle di cui 4 zero-day

Destano preoccupazione le falle zero-day chiuse con la tornata di update di settembre: è consigliabile l’applicazione immediata delle patch.

Tecnologie/Scenari

Nell’ormai abituale appuntamento con il Patch Tuesday Microsoft ha pubblicato gli aggiornamenti di sicurezza per 79 vulnerabilità, di cui tre attivamente sfruttate e una zero-day divulgata pubblicamente. Le falle critiche sono sette, quelle di escalation dei privilegi sono 30, le RCE (esecuzione di codice da remoto) sono 23. I prodotti Windows hanno ricevuto il maggior numero di patch (46).

Quattro zero-day

Come sempre concentriamo l’attenzione sulle falle zero-day, che destano maggiore preoccupazione, e partiamo con la vulnerabilità tracciata con la sigla CVE-2024-43491 relativa all'esecuzione di codice remoto in Microsoft Windows Update. Ha ricevuto un punteggio CVSSS di 9.8 perché sebbene interessi lo stack di manutenzione (Servicing Stack), in realtà annulla le patch e le mitigazioni implementate in precedenza. Lo sfruttamento della falla ha effetto solo sulla versione 1507 di Windows 10, che ha raggiunto la fine del ciclo di vita nel 2017 e sulle edizioni Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB che sono ancora in fase di supporto.

Microsoft specifica che "un attaccante potrebbe sfruttare le vulnerabilità precedentemente mitigate sui sistemi coinvolti che hanno installato l'aggiornamento di sicurezza di Windows rilasciato il 12 marzo 2024 KB5035858 (build del sistema operativo 10240.20526) o altri aggiornamenti rilasciati fino ad agosto 2024. Tutte le versioni successive di Windows 10 non sono interessate da questa falla". La soluzione è l’installazione dell'aggiornamento del Servicing Stack di settembre 2024 (SSU KB5043936) e dell’update KB5043083, in quest'ordine.


Fonte: Crowdstrike

Un altro elemento di allarme legato a questa vulnerabilità è che causa il ripristino dei componenti facoltativi, come per esempio Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS e Windows Media Player alle versioni RTM originali, reintroducendo di fatto qualsiasi CVE finora scoperto e corretto, che potrebbe quindi essere sfruttato. Dato che si tratta di una falla di importanza rilevante, consigliamo un approfondimento consultando l'advisory di Microsoft.

La seconda vulnerabilità notabile è la CVE-2024-38014 legata all'escalation di privilegi in Windows Installer, a cui è associato un punteggio CVSS di 7.8 (livello Importante). Consente agli attaccanti di ottenere privilegi di SISTEMA sui sistemi Windows, permettendo di assumere il controllo completo dell’ambiente. Il colosso di Redmond reputa che il kit proof-of-concept per sfruttare la vulnerabilità non sia ancora disponibile pubblicamente.

Andando a scalare con la gravitò troviamo poi la falla monitorata con la sigla CVE-2024-38226 e relativa all’elusione della funzione di sicurezza di Microsoft Publisher. Ha punteggio CVSS associato di 7.3 e se sfruttata può permettere a un utente malintenzionato di aggirare i criteri macro di Office utilizzati per bloccare i file non attendibili o dannosi – ossia di bloccare in automatico i documenti scaricati con macro incorporate. Al momento non ci sono dettagli sullo sfruttamento di questa falla, che comunque risulta attivo.

Chiudiamo la carrellata con il bug CVE-2024-38217 che ha una gravità di livello “Importante” e un punteggio CVSS di 5.4. Un attaccante potrebbe creare un file che elude le difese MOTW sul sistema dell'utente finale, disabilitando potenzialmente le funzionalità di sicurezza di SmartScreen e Servizi allegati di Windows. Ciò potrebbe compromettere l'integrità del sistema e ridurre l'efficacia di queste misure di protezione. Parliamo di una funzione di sicurezza che è stata aggirata più volte nel corso degli anni (marzo 2023, luglio 2023, novembre 2023, febbraio 2024, agosto 2024) e che è da tempo un obiettivo primario per i cyber criminali, che la sfruttano negli attacchi di phishing. Gli analisti che hanno scoperto questa falla reputano che sia sfruttata attivamente dal 2018.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter