Come ogni secondo martedì del mese Microsoft rilascia gli aggiornamenti di sicurezza per correggere le vulnerabilità dei suoi programmi. Ad aprile il Patch Tuesday risolve un totale di 97 difetti, uno dei quali è stato sfruttato attivamente in attacchi ransomware.
I diversi livelli di gravità delle vulnerabilità
7 dei 97 bug sono classificati come Critici e 90 sono classificati come Importanti in termini di gravità. È interessante notare che 45 dei difetti sono difetti di esecuzione di codice in modalità remota, seguiti da 20 vulnerabilità di elevazione dei privilegi.
Gli aggiornamenti seguono anche le correzioni per 26 vulnerabilità nel suo browser Edge che sono state rilasciate nell’ultimo mese.
Vulnerabilità sfruttata dagli hacker
Il difetto di sicurezza oggetto di sfruttamento attivo è CVE-2023-28252 (punteggio CVSS: 7.8), un bug di escalation dei privilegi nel driver CLFS (Common Log File System) di Windows.
“Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe ottenere privilegi SYSTEM“, ha affermato Microsoft.
CVE-2023-28252 è il quarto difetto di escalation dei privilegi nel componente CLFS che è stato oggetto di sfruttamento attivo nell’ultimo anno.
La vulnerabilità è stata sfruttata come arma da un gruppo criminale informatico per distribuire il ransomware Nokoyawa contro le piccole e medie imprese in Medio Oriente, Nord America e Asia.
Principali vulnerabilità risolte
Sono stati inoltre corretti i difetti critici di esecuzione di codice remoto che influiscono sul servizio server DHCP, sul protocollo di tunneling di livello 2, sull’estensione delle immagini non elaborate, sul protocollo di tunneling point-to-point di Windows, sul multicast generale pragmatico di Windows e su MSMQ (Microsoft Message Queuing).
Il bug MSMQ, registrato come CVE-2023-21554 (punteggio CVSS: 9,8) potrebbe portare all’esecuzione di codice non autorizzato e assumere il controllo di un server inviando un pacchetto MSMQ dannoso appositamente predisposto a un server MSMQ.
“La vulnerabilità CVE-2023-21554 consente a un utente malintenzionato di eseguire potenzialmente codice in remoto e senza autorizzazione“, ha affermato Check Point.
Altri due difetti scoperti in MSMQ, CVE-2023-21769 e CVE-2023-28302 (punteggio CVSS: 7,5), potrebbero essere sfruttati per causare una condizione di negazione del servizio (DoS) come un arresto anomalo del servizio e una schermata blu di Morte di Windows (Blue Screen of Death, BSoD).
Microsoft ha anche aggiornato il suo advisory per CVE-2013-3900, una vulnerabilità di convalida della firma WinVerifyTrust vecchia di 10 anni, per includere le seguenti versioni di installazione di Server Core:
- Windows Server 2008 per sistemi a 32 bit Service Pack 2
- Windows Server 2008 per sistemi basati su x65 Service Pack 2
- Windows Server 2008 R2 per sistemi basati su x64 Service 1
- Windows Server 2012
- Windows Server 2012 R2
- Server Windows 2016
- Windows Server 2019 e
- Windows Server 2022
Lo sviluppo arriva poiché sono stati osservati attaccanti collegati alla Corea del Nord che sfruttano il bug.
Come sempre, il consiglio è di effettuare al più presto l’aggiornamento di sicurezza, per diminuire i rischi causati dalle vulnerabilità.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza di sicurezza informatica.