Nel primo appuntamento del 2022 con il Patch Tuesday Microsoft ha corretto 97 vulnerabilità in totale, di cui nove classificate come critiche (sei zero-day) e 88 come importanti. Più nel dettaglio, 41 falle che sono state chiuse riguardano l’escalation di privilegi, nove il bypass di funzionalità di sicurezza, 29 sono RCE, sei sono legate all'intercettazione di informazioni personali, nove sono riconducibili a DoS e 3 allo spoofing.

Le falle zero-day

A preoccupare maggiormente sono ovviamente le vulnerabilità zero-day, di cui al momento nessuna è stata attivamente sfruttata per sferrare attacchi. La prima è monitorata con la sigla CVE-2021-22947 ed è legata all'esecuzione di codice in modalità remota in Open Source Curl. Un exploit funzionante consente mediante un attacco MITM (man in the middle) di iniettare dati di risposta falsi quando utilizza STARTTLS per avviare una connessione TLS.

La vulnerabilità tracciata con la sigla CVE-2021-36976 è legata all'esecuzione di codice in modalità remota in Libarchive, mentre la CVE-2022-21919 consente l’escalation di privilegi nel servizio profili utente di Windows. CVE-2022-21836 apre allo spoofing dei certificati di Windows, CVE-2022-21839 ad attacchi di tipo Denial. Infine, CVE-2022-21874 è legata all'esecuzione di codice in modalità remota nell'API del Centro sicurezza PC Windows.

È da notare che sia la vulnerabilità relativa a Curl che quella di Libarchive erano già state corrette dai rispettivi sviluppatori, ma sono state importate in Windows solo con questo patch tuesday. Sono da tenere d’occhio perché in entrambi i casi sono già in circolazione codici PoC di exploit funzionanti, che verosimilmente saranno presto sfruttati dai cyber criminali.

C’è anche un wormable

Anche se non rientra nelle falle critiche, gli esperti di sicurezza stanno puntando i riflettori sulla vulnerabilità CVE-2022-21907 perché è etichettata come wormable, ossia potrebbe essere sfruttata nei malware che si diffondono attraverso e tra reti. Impatta sulle ultime versioni desktop e server di Windows, tra cui Windows 11 e Windows Server 2022 e risiede nello stack di protocollo HTTP (HTTP.sys) utilizzato come listener per l'elaborazione delle richieste HTTP dal server Web Windows Internet Information Services (IIS).

Microsoft consiglia di dare la massima priorità a questa patch poiché gli attaccanti non autenticati potrebbero sfruttarla per eseguire codice arbitrario da remoto mediante attacchi a bassa complessità e funzionanti "nella maggior parte delle situazioni", senza richiedere l'interazione dell'utente.

La buona notizia è che la falla non è ancora sfruttata attivamente e non ci sono exploit proof of concept divulgati pubblicamente. Tuttavia esperienze del recente passato hanno insegnato che bastano poche ore per far evolvere la situazione al peggio.