Nel consueto Patch Tuesday del secondo martedì di ogni mese, Microsoft a marzo ha chiuso 92 vulnerabilità, di cui 21 falle di Microsoft Edge e tre RCE classificate come critiche. Importante il fatto che ci siano tre correzioni per falle zero-day divulgate pubblicamente, ossia già sfruttabili in the wilde, anche se al momento sembra che non siano ancora state impiegate attivamente in attacchi cyber.

Fra i problemi su cui Microsoft è intervenuta ci sono bug che possono aprire ad attacchi Denial of Service, di Information Disclosure, di Remote Code Execution, di Security Feature Bypass e di Spoofing. Inoltre, è bene annotare che, oltre al sistema operativo Windows, le patch riguardano.NET e Visual Studio, Azure Site Recovery, Defender, il browser Edge, Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, Microsoft 365 Apps, Office, Paint 3D, Remote Desktop, SMB Server.

Le falle più gravi

Procedendo in ordine per gravità, due falle che destano maggiori preoccupazioni sono quelle monitorate con le sigle CVE-2022-21990 e CVE-2022-23285, a cui è associato un punteggio CVSSv3.1 di 8.8 su 10. Sono legate all'esecuzione di codice da remoto del Remote Desktop Client e il loro sfruttamento è ritenuto molto probabile.

Nel caso di una connessione Remote Desktop, un attaccante con il controllo di un Remote Desktop Server potrebbe eseguire codice da remoto sul client RDP nel momento in cui una vittima si connette al server dell’attaccante tramite il Remote Desktop Client vulnerabile.

È di pari gravità la vulnerabilità CVE-2022-23277 legata all'esecuzione RCE in Microsoft Exchange Server. Anche in questo caso il punteggio CVSSv3.1 è pari a 8.8 su 10, dato che lo sfruttamento è ritenuto altamente probabile.

In questo caso, l’attaccante può scegliere come target gli account server in modalità RCE o arbitraria, e in qualità di utente autenticato, potrebbe attivare codice dannoso in relazione all'account del server, tramite una chiamata di rete.

È allerta anche per la falla monitorata con la sigla CVE-2022-24508, legata all'esecuzione RCE di Windows SMBv3. Il punteggio CVSSv3.1 di 8.8 su 10 lascia intendere che non sarebbe difficile approfittarne. La buona notizia è che il problema riguarda nuova funzionalità aggiunta a Windows 10 versione 2004, presente solo nelle versioni più recenti di Windows. Chi ha in uso versioni datate non corre rischi. Agli altri, Microsoft esorta a installare la patch con la massima priorità.

Oltre alla CVE-2022-21990, rientrano fra le falle zero-day la CVE-2022-24459 legata all'escalation di privilegi nel servizio Fax e scanner di Windows, e la CVE-2022-24512 legata all'esecuzione di codice remoto in .NET e Visual Studio.

Sebbene nessuna di queste vulnerabilità sia stata utilizzata in attacchi in the wild, Microsoft sottolinea che esistono exploit proof-of-concept pubblici per le CVE-2022-21990 e CVE-2022-24459.

Falla di media gravità

È difficile parlare di media gravità con vulnerabilità che hanno un punteggio CVSSv superiore a 8, ma dato che includiamo in questa breve rassegna solo le falle a cui è doveroso prestare la massima attenzione, non possiamo tralasciare quella tracciata con la sigla CVE-2022-24469, legata all'escalation di privilegi in Azure Site Recovery. Ha un punteggio CVSSv3.1 di 8.1 su 10 e consente a un attaccante di fare una chiamata alle API di Azure Site Recovery fornite dal server di configurazione, quindi ottenere l'accesso ai dati di configurazione, incluse le credenziali per i sistemi protetti. Sfruttando le API, l'attaccante potrebbe inoltre modificare/eliminare i dati di configurazione, impattando così sul Site Recovery.

Per consultare l’elenco completo delle patch pubblicate da Microsoft nel Patch Tuesday di marzo 2022 rimandiamo al sito ufficiale.