Microsoft Patch Tuesday maggio 2023, corretti 38 difetti (inclusi 2 bug zero-day)

microsoft-patch-tuesday-maggio-2023
Condividi:

Microsoft ha implementato gli aggiornamenti del Patch Tuesday di maggio 2023 per risolvere 38 falle di sicurezza, inclusi due bug zero-day che vengono attivamente sfruttati dai criminali informatici.

Delle 38 vulnerabilità, sei sono classificate come Critiche e 32 sono classificate come Importanti in termini di gravità. 8 vulnerabilità sono state contrassegnate con la valutazione “Exploitation More Likely” (“sfruttamento più probabile”) da parte di Microsoft.

Vulnerabilità sfruttata attivamente

In cima alla lista c’è CVE-2023-29336 (punteggio CVSS: 7.8), un difetto di escalation dei privilegi in Win32k che è stato sfruttato attivamente. Non è immediatamente chiaro quanto siano diffusi gli attacchi.

Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe ottenere privilegi SYSTEM“, ha affermato Microsoft.

Lo sviluppo ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ad aggiungere il difetto al suo catalogo delle vulnerabilità note e sfruttate, esortando le organizzazioni ad applicare le correzioni entro il 30 maggio 2023.

Degni di nota sono anche due difetti pubblicamente noti, uno dei quali è un difetto critico di esecuzione di codice remoto che ha un impatto su Windows OLE (CVE-2023-29325, punteggio CVSS: 8.1) che potrebbe essere armato da un attore inviando un’e-mail appositamente predisposta alla vittima.

Microsoft, come mitigazione, consiglia agli utenti di leggere i messaggi di posta elettronica in formato testo normale per proteggersi da questa vulnerabilità.

Seconda vulnerabilità

La seconda vulnerabilità pubblicamente nota è CVE-2023-24932 (punteggio CVSS: 6.7), un bypass della funzione di sicurezza Secure Boot che è stato utilizzato come arma dal bootkit BlackLotus UEFI per sfruttare CVE-2022-21894 (aka Baton Drop).

Questa vulnerabilità consente a un utente malintenzionato di eseguire codice autofirmato a livello di Unified Extensible Firmware Interface (UEFI) mentre Secure Boot è abilitato“, ha affermato Microsoft.

Viene utilizzato dagli attori delle minacce principalmente come meccanismo di persistenza e di evasione della difesa. Il successo dello sfruttamento si basa sul fatto che l’attaccante abbia accesso fisico o privilegi di amministratore locale sul dispositivo preso di mira.”

Vale la pena notare che la correzione fornita da Microsoft è disabilitata per impostazione predefinita e richiede ai clienti di applicare manualmente le revoche, ma non prima di aggiornare tutti i supporti di avvio.

Una volta che la mitigazione per questo problema è abilitata su un dispositivo, il che significa che le revoche sono state applicate, non può essere ripristinata se si continua a utilizzare Secure Boot su quel dispositivo“, ha avvertito Microsoft. “Anche la riformattazione del disco non rimuoverà le revoche se sono già state applicate.”

Il gigante della tecnologia ha affermato che sta adottando un approccio graduale per bloccare completamente il vettore di attacco per evitare rischi di interruzioni involontarie, un processo che dovrebbe estendersi fino al primo trimestre del 2024.

I moderni schemi di avvio sicuro sono estremamente complicati da configurare correttamente e/o ridurre significativamente le loro superfici di attacco“, ha osservato la società di sicurezza del firmware Binarly all’inizio di marzo. “Detto questo, è improbabile che gli attacchi bootloader scompaiano presto.”

Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza per la sicurezza informatica della tua azienda:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.