Martedì 11 luglio 2023 Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili per risolvere un totale di 132 nuovi difetti di sicurezza, inclusi ben 6 difetti zero-day che sono stati attivamente sfruttati dagli hacker.
Classificazione delle vulnerabilità per livello di gravità
Le 132 vulnerabilità del Microsoft Patch Tuesday di luglio 2023 hanno diversa rilevanza tra loro. Tra queste:
- 9 sono state classificate come “Critiche”
- 122 sono state classificate come “Importanti”
- 1 con livello di gravità “Nessuna”.
Questo si aggiunge agli 8 bug che Microsoft ha corretto nel suo browser Edge basato su Chromium verso la fine del mese scorso.
Le 6 vulnerabilità sfruttate dagli hacker
Ecco le vulnerabilità oggetto di sfruttamento attivo:
- CVE-2023-32046 (punteggio CVSS: 7,8) – Vulnerabilità relativa all’acquisizione di privilegi elevati della piattaforma Windows MSHTML
- CVE-2023-32049 (punteggio CVSS: 8,8) – Consente il bypass della funzionalità di sicurezza di Windows SmartScreen
- CVE-2023-35311 (punteggio CVSS: 8,8) – Bypass della funzionalità di sicurezza di Microsoft Outlook
- CVE-2023-36874 (punteggio CVSS: 7,8) – Acquisizione di privilegi elevati del servizio di segnalazione errori di Windows
- CVE-2023-36884 (punteggio CVSS: 8.3) – Esecuzione di codice in modalità remota HTML di Office e Windows
- ADV230001 – Uso dannoso di driver firmati da Microsoft per attività post-sfruttamento (nessun CVE assegnato).
Attacchi contro enti governativi europei e americani
Microsoft ha affermato di essere a conoscenza di attacchi mirati contro entità governative e della difesa in Europa e Nord America che tentano di sfruttare CVE-2023-36884 utilizzando esche di documenti Microsoft Office appositamente predisposte.
Queste dichiarazioni fanno eco alle ultime scoperte di BlackBerry, società di cybersecurity statunitense.
“Un utente malintenzionato potrebbe creare un documento Microsoft Office appositamente predisposto che consente loro di eseguire l’esecuzione di codice in modalità remota“, ha affermato Microsoft.
Campagna guidata da criminali informatici russi
Microsoft ha accusato un gruppo di criminali informatici russi, noto anche con i nomi RomCom, Tropical Scorpius, UNC2596 e Void Rabisu.
“L’attore distribuisce anche il ransomware Underground, che è strettamente correlato al ransomware Industrial Spy osservato per la prima volta in natura nel maggio 2022“, ha spiegato il team di Microsoft Threat Intelligence. “L’ultima campagna dell’attore rilevata nel giugno 2023 riguardava l’abuso della vulnerabilità CVE-2023-36884 per fornire una backdoor“.
I recenti attacchi di phishing messi in scena dall’attore hanno comportato l’uso di versioni trojanizzate di software legittimo ospitato su siti Web simili per distribuire un trojan di accesso remoto contro filo-ucraini nell’Europa orientale e nel Nord America.
Microsoft ha affermato che intende intraprendere “azioni appropriate per proteggere i clienti” sotto forma di un aggiornamento di sicurezza straordinario o tramite il suo processo di rilascio mensile.
In assenza di una patch per CVE-2023-36884, la società invita gli utenti a utilizzare la regola “Impedisci a tutte le applicazioni di Office di creare processi child” per la riduzione della superficie di attacco.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza in materia di cyber security: