Microsoft ha rilasciato il suo aggiornamento mensile “Patch Tuesday”, che risolve 84 nuovi difetti di sicurezza che riguardano diversi prodotti del colosso americano, tra questi una vulnerabilità zero-day utilizzata attivamente da hacker.
4 vulnerabilità critiche
Delle 84 vulnerabilità, 4 sono classificate come Critiche e 80 sono classificate come Importanti per gravità. Inoltre, sono stati risolti separatamente anche altri due bug nel browser Edge basato su Chromium.
Vulnerabilità che permette la disabilitazione degli endpoint
Questa vulnerabilità codificata come CVE-2022-22047 (punteggio di severità: 7,8), è un caso di escalation dei privilegi nel sottosistema di runtime del server client di Windows (CSRSS) che potrebbe essere utilizzato da un utente malintenzionato per ottenere autorizzazioni SYSTEM.
“Con questo livello di accesso, gli aggressori sono in grado di disabilitare servizi locali come gli strumenti di rilevamento e sicurezza degli endpoint“, ha detto Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs. “Con l’accesso SYSTEM possono anche implementare strumenti come Mimikatz che possono essere utilizzati per recuperare ancora più account di tipo amministratore, diffondendo rapidamente la minaccia“.
NB: Mimikatz è un programma gratuito e open source per Microsoft Windows che può essere utilizzato per ottenere informazioni riguardanti le credenziali di accesso.
Altre due vulnerabilità critiche
Sono stati corretti altri due bug di elevazione dei privilegi (cioè ad esempio ad account a livello amministratore): CVE-2022-22026 (punteggio CVSS: 8,8) e CVE-2022-22049 (punteggio CVSS: 7,8) – segnalati da un ricercatore di Google Project Zero.
“Un utente malintenzionato autenticato localmente potrebbe inviare dati appositamente predisposti al servizio CSRSS locale per elevare i propri privilegi da AppContainer a SYSTEM“, ha affermato Microsoft in un avviso.
“L’autore dell’attacco potrebbe eseguire codice o accedere a risorse a un livello di integrità superiore a quello dell’ambiente di esecuzione AppContainer“.
Correzione di altri difetti
Microsoft ha corretto una serie di bug di esecuzione di codice remoto in Windows Network File System (CVE-2022-22029 e CVE-2022-22039), Windows Graphics (CVE-2022-30221), Remote Procedure Call Runtime (CVE-2022- 22038) e Windows Shell (CVE-2022-30222).
L’aggiornamento si distingue inoltre per la correzione di 32 problemi nel servizio di continuità aziendale di Azure Site Recovery.
Due di questi difetti sono correlati all’esecuzione di codice in modalità remota e i restanti 30 riguardano l’escalation dei privilegi.
“Il successo ai fini dello sfruttamento della vulnerabilità richiede che un utente malintenzionato comprometta le credenziali di amministratore di una delle macchine virtuali associate al server di configurazione“, ha affermato la società, aggiungendo che i difetti non “consentono la divulgazione di informazioni riservate, ma potrebbero consentire a un utente malintenzionato di modificare i dati che potrebbero comportare l’indisponibilità del servizio“.
Inoltre, l’aggiornamento di luglio di Microsoft contiene anche correzioni per quattro vulnerabilità di escalation dei privilegi nel modulo Spooler di stampa di Windows (CVE-2022-22022, CVE-2022-22041, CVE-2022-30206 e CVE-2022-30226) dopo un breve tregua nel giugno 2022, sottolineando quello che sembra essere un flusso infinito di difetti che affliggono questa tecnologia.
A completare gli aggiornamenti di Patch Tuesday ci sono due importanti correzioni per la manomissione delle vulnerabilità nel servizio Windows Server (CVE-2022-30216) e Microsoft Defender for Endpoint (CVE-2022-33637) e tre difetti DoS (Denial of Service) in Internet Information Services (CVE-2022-22025 e CVE-2022-22040) e Security Account Manager (CVE-2022-30208).
Ti è piaciuto questo articolo? Contatta Noi Sicurezza per una consulenza in ambito di cyber security: