Nel consueto appuntamento con il secondo martedì del mese, a dicembre Microsoft ha chiuso 48 vulnerabilità di cui due zero day, 6 classificate come "critiche" (consentono l’esecuzione di codice da remoto) e 41 come "importanti". Complessivamente, 19 falle sono legate all'escalation di privilegi, due all’elusione della protezione, 23 si rifanno invece all'esecuzione di codice in modalità remota.

Zero Day

Delle due vulnerabilità Zero Day chiuse con questa tornata di aggiornamenti, quella monitorata con la sigla CVE-2022-44698 è già sfruttata attivamente (quindi sono già stati registrati attacchi reali). È legata all'elusione della funzionalità di protezione di Windows SmartScreen e consente a un attaccante di creare un file dannoso capace di eludere le difese di Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza basate sul tagging MOTW, come per esempio la Visualizzazione protetta in Microsoft Office. Nei campioni esaminati, relativi ad alcune campagne di distribuzione del malware Qbot (noto anche come QakBot) e del ransomware Magniber, sono stati impiegati file JavaScript dannosi con una firma non valida.

La seconda vulnerabilità Zero Day è stata divulgata pubblicamente, ossia gli attaccanti ne sono a conoscenza e potrebbero sfruttarla in tempi brevissimi. È monitorata con la sigla CVE-2022-44710 ed è legata all'escalation di privilegi nel kernel DirectX Graphics. Un attacco andato a buon fine implica che l’attaccante vinca una race condition: in quel caso si aggiudicherebbe i privilegi di sistema".

Falle critiche

Una delle vulnerabilità critiche appena chiuse, che Microsoft considera ad alta probabilità di sfruttamento, è la CVE-2022-41076 legata all’esecuzione di codice da remoto (RCE) in Windows PowerShell. Potrebbe consentire a un attaccante già autenticato di bypassare la configurazione della sessione remota di PowerShell ed eseguire comandi non autorizzati su sistemi compromessi.

Un'altra vulnerabilità critica è la CVE-2022-41127, relativa a Microsoft Dynamics NAV e Microsoft Dynamics 365 Business Central. Uno sfruttamento riuscito potrebbe consentire a un cyber criminale di eseguire codice sui server Dynamic NAV nel contesto dell'account di servizio utilizzato per l'esecuzione di Dynamics.

Due ulteriori vulnerabilità critiche, CVE-2022-44670 e CVE-2022-44676, sono legate all'esecuzione di codice in modalità remota e interessano il protocollo SSTP (Secure Socket Tunneling Protocol) di Windows. Per sfruttare correttamente queste falle è necessario che un attaccante vinca una race condition, a seguito della quale potrebbe eseguire codice in modalità remota sui server RAS.

Le ultime due vulnerabilità critiche risolte questo mese sono legate all'esecuzione di codice in modalità remota in Microsoft Sharepoint Server. Lo sfruttamento corretto di CVE-2022-44690 o di CVE-2022-44693 potrebbe consentire a un cyber criminale di eseguire codice nei server SharePoint, ma è necessario che prima che l'utente venga autenticato e gli venga concessa la possibilità di utilizzare le Manage List in Sharepoint.

L’elenco completo di tutte le vulnerabilità che Microsoft ha chiuso questo mese è disponibile sulla sua pagina di update.