In occasione del Patch Tuesday di novembre Microsoft ha chiuso 68 vulnerabilità, i cui sei attivamente sfruttate. Nel complesso, undici falle sono classificate come critiche, 27 sono legate all'escalation di privilegi, 4 consentono di eludere le funzioni di protezione, 16 sono di tipo RCE e 11 sono legate all'intercettazione di informazioni personali. Ancora, le vulnerabilità che aprono ad attacchi DDoS sono sei, mentre quelle per lo spoofing sono tre.

Le note dolenti

Come sempre partiamo con le falle più critiche, ossia quelle identificate come zero day sfruttate attivamente, di cui una divulgata pubblicamente. La prima è monitorata con la sigla CVE-2022-41128, è stata sfruttata in attacchi reali, è legata all'esecuzione di codice da remoto in Windows Scripting Languages e interessa tutte le versioni del sistema operativo Windows. Lo sfruttamento di questa falla richiede che un utente con una versione fallata di Windows acceda a un server dannoso appositamente creato. Per attirare le vittime, le esche tipiche sono quelle ben note: link o siti web appositamente preposti, tecniche di ingegneria sociale e attacchi di phishing.

Passiamo poi alla falla tracciata come CVE-2022-41091 relativa all'elusione della funzionalità di protezione web di Windows. La vulnerabilità ha ricevuto un punteggio CVSS di 5.4, che di per sé potrebbe farla sembrare poco pericolosa. Tuttavia, gli attaccanti hanno trovato materiale fertile per i loro loschi fini, tanto da prendersi il tempo necessario per creare un exploit e utilizzarlo. La vulnerabilità in questione dev’essere infatti inquadrata nell’ottica di un passaggio all’interno di un più ampio processo per ottenere il controllo di un sistema.

In particolare, questo CVE consentirebbe a un attaccante di rendere potenzialmente inutilizzabile una funzionalità di protezione come la visualizzazione protetta di Microsoft Office. Unendo questo vantaggio allo sfruttamento di un altro CVE che consente a un utente di aprire un allegato email per eseguire codice da remoto, ad esempio, il codice eseguito potrebbe permettere all’attaccante di ottenere privilegi elevati sul sistema. È il classico esempio di concatenamento degli attacchi che rende i CVE meno gravi molto più pericolosi di quanto non siano se presi singolarmente.

Terza vulnerabilità da tenere in grande considerazione è la CVE-2022-41073 legata all'escalation di privilegi nello spooler di stampa di Windows. Interessa tutte le versioni del sistema operativo Windows e sfruttandola un attaccante può ottenere i privilegi di sistema. Dalla scoperta di PrintNightmare nel giugno 2021, le interazioni con lo spooler di stampa di Windows hanno subìto molti cambiamenti e molte aziende hanno compiuto grandi sforzi per garantire l'inclusione delle applicazioni business critical che sono state influenzate dagli aggiornamenti dello spooler di stampa. Da qui l’indicazione di non sottovalutare nessuna falla legata allo spooler di stampa perché eventuali ritardi nell'implementazione delle patch possono esporre le organizzazioni a rischi prolungati.

Sorvegliato speciale è anche il CVE-2022-41125, una vulnerabilità legata all'escalation di privilegi nel servizio di isolamento delle chiavi CNG di Windows. Interessa Windows 8.1 e Server 2012 e versioni successive del sistema operativo, ed è classificato come importante perché potrebbe consentire a un cyber criminale di ottenere privilegi di sistema sulla destinazione interessata.

Microsoft Exchange ProxyNotShell zero-day

Microsoft ha inoltre chiuso un paio di vulnerabilità zero-day in Microsoft Exchange Server. Meglio conosciuti come ProxyNotShell, il CVE-2022-41040 (EP) e il CVE-2022-41082 (RCE) sono stati portati per la prima volta all’attenzione del pubblico il 29 settembre 2022. Microsoft ai tempi fornì soluzioni di mitigazione, tra cui la disabilitazione dell'accesso PowerShell remoto per chi non avesse i privilegi di amministratore e le regole di riscrittura degli URL. Le mitigazioni hanno subìto inizialmente diverse iterazioni, ma si sono stabilizzate nel tempo. Con il Patch Tuesday dell'8 novembre 2022, Microsoft ha aggiornato le indicazioni per i clienti raccomandando loro di aggiornare immediatamente i sistemi interessati.

L’elenco completo di tutte le patch coinvolte nel Patch Tuesday di novembre 2022 è consultabile alla pagina ufficiale Microsoft.