Con il primo Patch Tuesday del 2023 Microsoft ha chiuso 98 vulnerabilità, tra cui una già attivamente sfruttata in attacchi reali. 11 delle 98 falle sono classificate come critiche e 87 come importanti in termini di gravità. Partiamo proprio dal problema più grave: la vulnerabilità monitorata con la sigla CVE-2023-21674 ha un punteggio CVSS di 8.8 e se adeguatamente sfruttata consente l’escalation dei privilegi in Windows Advanced Local Procedure Call (ALPC), tramite cui ottenere autorizzazioni SYSTEM.

I dettagli sono ancora sconosciuti per ovvii motivi, ma gli esperti hanno spiegato che combinando lo sfruttamento di questa falla con un bug del browser è possibile causare una fuga di dati dalla sandbox del browser stesso e contestualmente ottenere privilegi elevati. Per fare che questo accada è necessario che l’attaccante abbia già violato il sistema target.

Gli esperti sottolineano che la possibilità di un largo impiego di una catena di exploit come questa sono limitate, ma considerata la posta in gioco i tentativi di attuarla non mancheranno, quindi è fortemente caldeggiata l’installazione della patch. Non a caso la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto questa vulnerabilità al suo catalogo Known Exploited Vulnerabilities e ha esortando le agenzie federali ad applicare la patch entro fine mese.

Le altre vulnerabilità

In ordine di gravità troviamo poi la falla monitorata con la sigla CVE-2023-21549, a cui è stato assegnato un punteggio CVSS di 8.8. È legata all'escalation di privilegi, è pubblicamente nota, riguarda il controllo SMB di Windows e un'altra istanza di bypass della funzionalità di sicurezza che influisce su BitLocker (CVE-2023-21563).

La casa di Redmond ha chiuso poi altri due bug di escalation dei privilegi che interessano Microsoft Exchange Server: CVE-2023-21763 e CVE-2023-21764, entrambi con punteggi CVSS di 7.8. Sono la soluzione definitiva per la patch incompleta per una vulnerabilità di escalation dei privilegi in Exchange Server che fu scoperta a novembre 2022 (CVE-2022-41123).

L'aggiornamento di gennaio corregge poi una serie di vulnerabilità di escalation dei privilegi, tra cui una nella Gestione credenziali di Windows (CVE-2023-21726, punteggio CVSS di 7.8) e tre relative allo Spooler di stampa (CVE-2023-21678, CVE-2023-21760 e CVE-2023-21765).

Scendendo di gravità troviamo la soluzione per una falla di bypass della funzionalità di sicurezza in SharePoint Server (CVE-2023-21743, punteggio CVSS di 5.3) che potrebbe consentire a un attaccante non autenticato di eludere l'autenticazione e stabilire una connessione anonima.