Patch Tuesday di dicembre 2022: chiuse 48 falle, di cui 2 zero day

I dettagli delle falle Zero Day e Critiche chiuse da Microsoft con il Patch Tuesday del mese di dicembre.

Vulnerabilità

Nel consueto appuntamento con il secondo martedì del mese, a dicembre Microsoft ha chiuso 48 vulnerabilità di cui due zero day, 6 classificate come "critiche" (consentono l’esecuzione di codice da remoto) e 41 come "importanti". Complessivamente, 19 falle sono legate all'escalation di privilegi, due all’elusione della protezione, 23 si rifanno invece all'esecuzione di codice in modalità remota.

Zero Day

Delle due vulnerabilità Zero Day chiuse con questa tornata di aggiornamenti, quella monitorata con la sigla CVE-2022-44698 è già sfruttata attivamente (quindi sono già stati registrati attacchi reali). È legata all'elusione della funzionalità di protezione di Windows SmartScreen e consente a un attaccante di creare un file dannoso capace di eludere le difese di Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza basate sul tagging MOTW, come per esempio la Visualizzazione protetta in Microsoft Office. Nei campioni esaminati, relativi ad alcune campagne di distribuzione del malware Qbot (noto anche come QakBot) e del ransomware Magniber, sono stati impiegati file JavaScript dannosi con una firma non valida.


La seconda vulnerabilità Zero Day è stata divulgata pubblicamente, ossia gli attaccanti ne sono a conoscenza e potrebbero sfruttarla in tempi brevissimi. È monitorata con la sigla CVE-2022-44710 ed è legata all'escalation di privilegi nel kernel DirectX Graphics. Un attacco andato a buon fine implica che l’attaccante vinca una race condition: in quel caso si aggiudicherebbe i privilegi di sistema".

Falle critiche

Una delle vulnerabilità critiche appena chiuse, che Microsoft considera ad alta probabilità di sfruttamento, è la CVE-2022-41076 legata all’esecuzione di codice da remoto (RCE) in Windows PowerShell. Potrebbe consentire a un attaccante già autenticato di bypassare la configurazione della sessione remota di PowerShell ed eseguire comandi non autorizzati su sistemi compromessi.

Un'altra vulnerabilità critica è la CVE-2022-41127, relativa a Microsoft Dynamics NAV e Microsoft Dynamics 365 Business Central. Uno sfruttamento riuscito potrebbe consentire a un cyber criminale di eseguire codice sui server Dynamic NAV nel contesto dell'account di servizio utilizzato per l'esecuzione di Dynamics.

Due ulteriori vulnerabilità critiche, CVE-2022-44670 e CVE-2022-44676, sono legate all'esecuzione di codice in modalità remota e interessano il protocollo SSTP (Secure Socket Tunneling Protocol) di Windows. Per sfruttare correttamente queste falle è necessario che un attaccante vinca una race condition, a seguito della quale potrebbe eseguire codice in modalità remota sui server RAS.

Le ultime due vulnerabilità critiche risolte questo mese sono legate all'esecuzione di codice in modalità remota in Microsoft Sharepoint Server. Lo sfruttamento corretto di CVE-2022-44690 o di CVE-2022-44693 potrebbe consentire a un cyber criminale di eseguire codice nei server SharePoint, ma è necessario che prima che l'utente venga autenticato e gli venga concessa la possibilità di utilizzare le Manage List in Sharepoint.

L’elenco completo di tutte le vulnerabilità che Microsoft ha chiuso questo mese è disponibile sulla sua pagina di update.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Previsioni di cybersecurity per il 2023

Speciale

Supply chain security

Speciale

Speciale Mobile e IoT

Speciale

Threat Intelligence

Speciale

Cloud Security

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter