Nell’appuntamento di giugno 2023 del Patch Tuesday Microsoft ha chiuso complessivamente 78 vulnerabilità, 6 classificate come critiche e 38 di esecuzione di codice da remoto (RCE). Al contrario di quanto accaduto il mese precedente, questo Patch Tuesday non risolve alcuna vulnerabilità zero-day e al momento del rilascio nessuno dei bug è stato divulgato pubblicamente. È una buona notizia, ma Microsoft sottolinea il fatto che otto delle falle chiuse hanno maggiori probabilità di essere sfruttate entro i prossimi 30 giorni. Ciò significa che il patching non dev’essere sottovalutato.

Vulnerabilità che devono preoccupare

Come di consueto, vediamo i CVE che meritano la maggiore attenzione. Il primo è il CVE-2023-29357, che ha un punteggio CVSS di 9.8 ed è relativo a una vulnerabilità legata all'escalation di privilegi in Microsoft SharePoint Server. Nell’advisory Microsoft precisa che "un attaccante che ha ottenuto l'accesso ai token di autenticazione JWT falsificati può utilizzarli per eseguire un attacco di rete che aggira l'autenticazione e gli consegna l’accesso ai privilegi di un utente autenticato", che può persino essere l’amministratore di sistema.

Ci sono poi tre vulnerabilità critiche con CVSS di 9,8 che riguardano Windows Pragmatic General Multicast. Sono monitorate con le sigle CVE-2023-29363, CVE-2023-32014 e CVE-2023-32015 e consentono a un attaccante da remoto non autenticato di eseguire codice su un sistema interessato quando il servizio Windows Message Queuing è in esecuzione in un ambiente server PGM. Microsoft spiega che tale servizio è un componente di Windows e deve essere abilitato affinché possa essere sfruttato da questa vulnerabilità.

Restando nell’ambito delle vulnerabilità critiche troviamo poi quella monitorata con la sigla CVE-2023-32013, a cui è associato un punteggio CVSS di 6.5. Riguarda Windows Hyper-V, la piattaforma di virtualizzazione di Microsoft che consente agli amministratori di eseguire contemporaneamente più sistemi operativi sullo stesso server fisico. Gli esperti di Crowdstrike reputano che il punteggio basso sia associato a una criticità comunque elevata per l'importanza di Hyper-V nelle infrastrutture di virtualizzazione e per la facilità di impiego di questa falla come vettore di attacco. Del resto, ricordiamo che le macchine virtuali sono bersagli particolarmente appetibili in questo momento.

Un punteggio CVSS un po’ più alto (7.8) è invece quello associato alla falla monitorata con la sigla CVE-2023-24897 e inquadrata come critica. Interessa Windows .NET, .NET Framework e Visual Studio e può essere sfruttata mediante un exploit talvolta definito di Arbitrary Code Execution (ACE). Il punteggio basso è dovuto al fatto che l’attacco dev’essere eseguito localmente.

Chiudiamo con una vulnerabilità legata all'esecuzione di codice da remoto in Microsoft Exchange Server, che corrisponde alla sigla CVE-2023-32031 e consente l'esecuzione di codice da remoto. La descrizione di Microsoft precisa che l’attaccante, in qualità di utente autenticato, potrebbe tentare di attivare del codice dannoso nel contesto dell'account server attraverso una chiamata di rete.