Sono 59, di cui due zero-day attivamente sfruttate, le vulnerabilità che Microsoft ha chiuso in occasione del Patch Tuesday di settembre 2023. Il computo maggiore di bug riguarda quelli legati all'esecuzione di codice in modalità remota (RCE), che a questo giro sono 24. Seguono nove falle legate all'intercettazione di informazioni personali, cinque di spoofing e altre sei equamente ripartite fra elusione della funzione di protezione e attacchi di tipo Denial of Service.

Come d’abitudine concentriamo l’attenzione sulle vulnerabilità che sono più urgenti da chiudere, ossia quelle zero-day. Come accennato, entrambe quelle di settembre sono sfruttate negli attacchi e una di esse è anche divulgata pubblicamente. La prima è monitorata con la sigla CVE-2023-36802 e ha un punteggio CVSS di 7.8 su 10. Si tratta di una falla legata all'escalation di privilegi nel proxy di streaming Microsoft. Se correttamente sfruttata, consente a un attaccante di ottenere i privilegi di SISTEMA.

I riflettori sono puntati anche sulla falla CVE-2023-36761 legata all'intercettazione di informazioni personali in Microsoft Word. Ha un punteggio CVSS di 6.2 e può consentire la divulgazione di hash NTLM, che possono essere utilizzati negli attacchi NTLM Relay (pass-the hash) per ottenere l'accesso all'account. Questo significa che con exploit riuscito un attaccante può impersonare l'utente e ottenere i suoi diritti di accesso.

Vulnerabilità critiche

Ci sono poi delle patch che non sono zero-day ma a cui è bene prestare particolare attenzione. Una vulnerabilità critica che ci si può aspettare abbia un certo impatto è quella monitorata con la sigla CVE-2023-29332, a cui è associato un punteggio CVSS di 7.5 su 10. Si tratta di un bug legato all'escalation dui privilegi del servizio Kubernetes di Microsoft Azure che potrebbe consentire a un attaccante di ottenere i privilegi di amministratore del cluster. La vulnerabilità è sfruttabile in remoto e la complessità dell'attacco è bassa perché non è richiesta una conoscenza preliminare significativa del cluster/sistema.

Tre delle patch per falle critiche risolvono vulnerabilità RCE di Visual Studio. Le sigle che le contraddistinguono sono CVE-2023-36792, CVE-2023-36793 e CVE-2023-36796, accomunate dal punteggio CVSS di 7.8 e dall’esito di un eventuale sfruttamento, che porterebbe all'esecuzione di codice arbitrario quando si apre un file dannoso con una versione fallata del software. Il problema è che Visual Studio è particolarmente usato dagli sviluppatori, che diventano automaticamente i target di questi attacchi creando un effetto domino difficile da controllare.

L’ultima vulnerabilità critica è la CVE-2023-38148, la più grave chiusa a questo giro da Microsoft, dato che ha un punteggio CVSS associato di 8.8. Se sfruttata, può consentire l'esecuzione di codice remoto non autenticato tramite la funzione ICS di Windows. Fortunatamente la maggior parte delle organizzazioni non utilizza più ICS, ma chi ne fa ancora auso farà bene a chiuderla urgentemente.

Varie ed eventuali

Nell'aggiornamento di settembre sono inclusi anche una serie di bug di Microsoft Exchange Server che sono ritenuti a maggiore rischio di sfruttamento. Di questi, tre (CVE-2023-36744, CVE-2023-36745 e CVE-2023-36756, tutti con una classificazione CVSS di 8.0) influiscono sulle versioni 2016-2019 del servizio e possono consentire attacchi RCE.

Inoltre è bene dare risalto alla falla DoS monitorata con la sigla CVE-2023-38149, che ha un CVSS di 7.5 e colpisce qualsiasi sistema di rete, permettendo a un attaccante di interrompere il servizio senza alcuna autenticazione dell'utente, tramite un vettore di rete. Ne sono esenti i sistemi con IPv6 disabilitato.