Come ogni secondo martedì del mese, Microsoft ha pubblicato una serie di nuove patch di sicurezza per Windows e per gli altri suoi prodotti software. Con il Patch Tuesday Microsoft di settembre 2023, l’azienda di Redmond ha risolto 66 vulnerabilità: 5 sono indicate come critiche mentre 2 sono già sfruttate da parte dei criminali informatici.
Le due lacune di sicurezza che necessitano di maggiore attenzione sono quella individuata nel Microsoft Streaming Service Proxy (CVE-2023-36802) e un grave problema nella visualizzazione dell’anteprima del contenuto dei documenti Word (CVE-2023-36761).
Patch Tuesday Microsoft: la vulnerabilità più critica è in ICS
Microsoft spiega che tra le lacune di sicurezza del mese, quella relativa alla funzionalità Internet Connection Sharing (ICS) è la più problematica in assoluto (CVE-2023-38148). Quest’ultima è una funzione che consente a un computer di agire come un gateway o un router per condividere la connessione Internet con altri dispositivi nella stessa rete locale.
Si tratta di un meccanismo utile quando si ha disponibilità della connessione Internet su un computer e si desidera condividerla con altri dispositivi, come PC, tablet, smartphone e console di gioco, senza la necessità di un router fisico. Abbiamo visto a suo tempo come condividere la connessione Internet e i file in Windows configurando il sistema come hotspot.
Stando a quanto riferiscono i tecnici Microsoft, un aggressore può inviare un pacchetto di rete modificato ad arte verso il sistema che esegue ed espone il servizio ICS ottenendo come effetto l’esecuzione di codice arbitrario in modalità remota. La conseguenza è un attacco Remote Code Execution (RCE) che però si concretizza se e solo se ICS risulta attivato.
Le due falle di sicurezza già sfruttate dai criminali informatici
Quanto ai problemi di sicurezza già sfruttati dagli aggressori, il primo riguarda Microsoft Streaming Service Proxy, un servizio di Windows che opera come driver a livello del kernel del sistema operativo. Un aggressore che riuscisse a sfruttare il bug risolvibile con l’installazione della patch rilasciata a settembre 2023, può acquisire i privilegi SYSTEM sulla macchina vulnerabile.
L’altra vulnerabilità interessa in particolare gli utenti della suite Office: confezionando un documento Word malevolo, gli aggressori possono ottenere la condivisione automatica degli hash NTLM utilizzati in Windows.
Gli hash NTLM sono rappresentazioni crittografiche delle password degli utenti e servono per verificare l’identità degli utenti durante il processo di autenticazione quando accedono a un sistema o a una rete. Il meccanismo di hashing basato su NTLM è tuttavia considerato ormai superato: consigliato l’utilizzo di protocolli di autenticazione più moderni come Kerberos.
Le informazioni relative agli hash NTLM possono essere infatti oggetto di attacchi brute force e rainbow table che permettono di risalire piuttosto facilmente alla password impostata da ciascun utente.
Nel caso della falla risolta questo mese, semplicemente visualizzando il contenuto di un file Word dal pannello di anteprima di Esplora file, in Windows, un aggressore può leggere direttamente gli hash NTLM degli account utente configurati sulla macchina.
Sulla stessa “lunghezza d’onda” anche la vulnerabilità CVE-2023-36762 che può essere sfruttata per eseguire codice arbitrario all’apertura di un documento o mostrandone l’anteprima in Esplora file.
Altri aggiornamenti di sicurezza del Patch Tuesday Microsoft che meritano attenzione
Un aggiornamento piuttosto rilevante riguarda Visual Studio (CVE-2023-36793): persuadendo la vittima ad aprire un pacchetto malevolo con lo strumento di sviluppo Microsoft, può verificarsi il caricamento e l’esecuzione di codice arbitrario.
Gli utenti di Exchange Server dovrebbero invece installare con tempestività l’aggiornamento per la falla CVE-2023-36756: avrebbe dovuto essere rilasciato nell’ambito del Patch Tuesday di agosto ma, secondo quanto riportato da Cisco Talos, è stato escluso per errore.
A questo proposito, non vanno tralasciati neppure gli aggiornamenti CVE-2023-36745 e CVE-2023-36744: riguardano sempre Exchange Server e sono utilizzati dagli aggressori remoti in una serie di attacchi mirati verso obiettivi importanti.
Per controllare la lista degli aggiornamenti Microsoft suggeriamo di fare riferimento all’analisi elaborata da ISC-SANS.
Credit immagine in apertura: iStock.com/AndSim