Le prime correzioni del Patch Tuesday fornite da Microsoft per il 2023 hanno risolto un totale di 98 falle di sicurezza, incluso un bug che viene attivamente sfruttato in natura.
11 dei 98 problemi sono classificati come critici e 87 sono classificati come importanti in termini di gravità, con una delle vulnerabilità elencata anche come pubblicamente nota al momento del rilascio. Separatamente, Windows rilascia aggiornamenti per il suo browser Edge basato su Chromium.
Vulnerabilità usata per attacchi
La vulnerabilità che è sotto attacco si riferisce a CVE-2023-21674 (punteggio CVSS: 8.8), un difetto di escalation dei privilegi in Windows Advanced Local Procedure Call (ALPC) che potrebbe essere sfruttato da un utente malintenzionato per ottenere autorizzazioni System.
“Questa vulnerabilità potrebbe portare a una fuga dalla sandbox del browser“, ha osservato Microsoft in un avviso, accreditando i ricercatori di Avast Jan Vojtěšek, Milánek e Przemek Gmerek per aver segnalato il bug.
“Una volta stabilito il punto di appoggio iniziale, gli aggressori cercheranno di spostarsi attraverso una rete o ottenere ulteriori livelli di accesso più elevati e questi tipi di vulnerabilità di escalation dei privilegi sono una parte fondamentale del playbook dell’attaccante“, ha detto Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs.
Le principali vulnerabilità
Altre due vulnerabilità di escalation dei privilegi classificate come ad alta priorità interessano Microsoft Exchange Server (CVE-2023-21763 e CVE-2023-21764, punteggio CVSS: 7.8), che derivano da una patch incompleta per CVE-2022-41123, secondo Qualys.
“Un utente malintenzionato potrebbe eseguire codice con privilegi a livello System sfruttando un percorso di file hardcoded“, ha dichiarato in una nota Saeed Abbasi, responsabile della ricerca sulle vulnerabilità e sulle minacce di Qualys.
Microsoft ha risolto anche un bypass della funzionalità di sicurezza in SharePoint Server (CVE-2023-21743, punteggio CVSS: 5.3) che potrebbe consentire a un utente malintenzionato non autenticato di aggirare l’autenticazione e stabilire una connessione anonima.
L’aggiornamento di gennaio corregge ulteriormente una serie di difetti di escalation dei privilegi, tra cui uno in Windows Credential Manager (CVE-2023-21726, punteggio CVSS: 7.8) e tre che interessano il componente Print Spooler (CVE-2023-21678, CVE-2023-21760, e CVE-2023-21765).
A completare l’elenco c’è CVE-2023-21549 (punteggio CVSS: 8.8), una vulnerabilità di elevazione dei privilegi pubblicamente nota nel servizio Windows SMB Witness e un’altra istanza di bypass della funzionalità di sicurezza che ha un impatto su BitLocker (CVE-2023-21563, punteggio CVSS: 6.8).
“Un utente malintenzionato di successo potrebbe aggirare la funzione di crittografia del dispositivo BitLocker sul dispositivo di archiviazione del sistema“, ha affermato Microsoft. “Un utente malintenzionato con accesso fisico al target potrebbe sfruttare questa vulnerabilità per ottenere l’accesso a dati crittografati“.
Fine supporto per versioni obsolete di Windows
Gli aggiornamenti di Patch Tuesday arrivano anche quando Windows 7, Windows 8.1 e Windows RT hanno raggiunto la fine del supporto il 10 gennaio 2023. Microsoft ha annunciato che non offrirà un programma di aggiornamento della sicurezza estesa per Windows 8.1, esortando invece gli utenti a aggiornare a Windows 11.
“Continuare a utilizzare Windows 8.1 dopo il 10 gennaio 2023 potrebbe aumentare l’esposizione di un’organizzazione a rischi per la sicurezza “, ha ammonito la società.
In questi casi, come sempre, vale la raccomandazione di aggiornare i sistemi operativi non appena possibile.
Ti è piaciuto questo articolo? Contattaci per una consulenza in materia di sicurezza informatica: