Nel tradizionale appuntamento mensile con il Patch Tuesday, Microsoft ha pubblicato patch per 83 vulnerabilità in sei famiglie di prodotti. Fra questi risultano le correzioni per 15 bug critici che interessano Azure, Office, SharePoint e Windows. Ancora una volta, la maggior parte dei CVE riguarda Windows (68), mentre sono cinque per Office e quattro per SharePoint. Azure beneficia solo di tre patch, Visual Studio e .NET insieme coprono le altre tre.

La parte del leone questo spetta, come spesso capita, alle vulnerabilità di escalation dei privilegi, che sono state in tutto 21, contro le 21 falle RCE, 10 di divulgazione di informazioni e 8 di negazione del servizio. È stata invece disattesa l’aspettativa per una patch di Exchange Server relativa alla vulnerabilità nota come "ProxyNotShell" e tracciata con le sigle CVE-2022-41040 e CVE-2022-41082. Microsoft ha spiegato in un post sul blog ufficiale che pubblicherà gli aggiornamenti non appena saranno pronti.

Le falle zero day

La vulnerabilità sfruttata attivamente è la CVE-2022-41033, a cui è associato un punteggio CVSS di 7.8 su 10. È descritta come una vulnerabilità "Windows COM+ Event System Service Elevation of Privileges (EoP)", e, se opportunamente sfruttata, offre a un attaccante il potenziale per ottenere i privilegi SYSTEM. In genere questo tipo di vulnerabilità entra in gioco dopo che l’attaccante ha acquisito un punto d'appoggio iniziale su un sistema, e deve passare alla fase successiva di elevare le proprie autorizzazioni.

C’è un'altra vulnerabilità divulgata pubblicamente, che però non risulta ancora sfruttata in attacchi reali: è monitorata con la sigla CVE-2022-41043 ed è legata all'intercettazione di informazioni personali di Microsoft Office. I prodotti interessati sono Microsoft Office LTSC per Mac 2021 e Microsoft Office 2019 per Mac. Secondo Microsoft i cybercriminali potrebbero sfruttarla per ottenere l'accesso ai token di autenticazione degli utenti.

I restanti problemi rimangono non divulgati e non sfruttati, secondo Microsoft. Notevoli per la loro assenza sono le due vulnerabilità di alto profilo di Exchange Server (CVE-2022-41040, CVE-2022-41082), entrambe nelle notizie della scorsa settimana. Dalla divulgazione pubblica dei due problemi, Microsoft ha emesso diversi cicli di mitigazioni e linee guida per quella che sembra essere una variante vicina del leggendario attacco ProxyShell.

Le altre correzioni di rilievo

Microsoft ha corretto anche sette vulnerabilità RCE valutate come critiche. Sono relative al protocollo PPTP (Point-to-Point Protocol) di Windows e sono tracciate con le sigle CVE-2022-22035, CVE-2022-24504, CVE-2022-30198, CVE-2022-33634, CVE-2022-38000, CVE-2022-38047, CVE-2022-41081. Il produttore reputa che siano a bassa probabilità di essere sfruttate dato che la complessità dell'attacco che le sfrutta è notevole. L’attaccante, infatti, dovrebbe creare un pacchetto PPTP dannoso, inviarlo a un server PPTP e vincere una race condition per ottenere l'esecuzione di codice in modalità remota. Al momento nessuna di queste falle è stata sfruttata in attacchi reali.

Sono sempre di tipo RCE anche le falle CVE-2022-38048, CVE-2022-38049, CVE-2022-41031 che riguardano Office/Word. Destano poca preoccupazione perché con tutti e tre questi bug il vettore di attacco è locale ed è richiesta l'interazione dell'utente.

Ci sono poi due vulnerabilità, tracciate con le sigle CVE-2022-37987 e CVE-2022-37989, che sono legate all'escalation di privilegi nel sottosistema runtime di Windows Client Server (CSRSS). Il loro sfruttamento è abbastanza probabile sia nelle versioni precedenti che in quelle più recenti del sistema, e potrebbero comportare l'acquisizione da parte di un attaccante dei privilegi di SISTEMA.

Chiudiamo questa rassegna con la falla CVE-2022-38022 legata all'escalation di privilegi nel kernel di Windows. Benché abbiamo un punteggio CVSS molto basso (3.1), è una falla interessante. Presa singolarmente non fa nulla di grave, ma nell’ottica di un attacco concatenato con altre falle potrebbe consentire una sequenza di attacco micidiale. In sostanza, è un problema da correggere se si vogliono evitare brutte sorprese in futuro.

Un Feed RSS per gli update

Un’altra novità interessante di questo mese relativa agli update è la disponibilità di un Feed RSS che notifica la disponibilità di nuovi aggiornamenti di sicurezza. Fa riferimento alla Security Update Guide (SUG) di Microsoft che già esiste, e in cui confluiscono tutte le correzioni pubblicate dall’azienda di Redmond.

Pochi consultano questa pagina, ma sarebbe importante farlo perché oltre alle tradizionali patch mensili l’azienda emette anche gli avvisi relativi alle falle particolarmente gravi che emergono a metà mese. L’esempio pratico è proprio quello dei bug di Exhange a cui abbiamo fatto riferimento sopra: non sono stati corretti, ma Microsoft ha pubblicato delle mitigazioni che possono aiutare a proteggere i server esposti in attesa delle patch.

L'URL per il nuovo Feed RSS è il seguente: https://api.msrc.microsoft.com/update-guide/rss ed è anche condiviso nel SUG con l’apposita icona. Si consiglia di inseirlo nel proprio flusso di feed.