Microsoft ha rilasciato correzioni per 48 nuove vulnerabilità nei suoi prodotti, inclusa una che gli aggressori stanno sfruttando attivamente e un'altra che è stata divulgata pubblicamente ma non è attualmente sfruttata attivamente.
Sei delle vulnerabilità che l'azienda ha corretto con l'ultimo aggiornamento di sicurezza mensile dell'anno sono elencate come critiche. Ha assegnato un'importante valutazione di gravità a 43 vulnerabilità e ha assegnato a tre difetti una valutazione di gravità moderata.
L'aggiornamento di Microsoft include patch per CVE fuori banda risolte nell'ultimo mese, oltre a 23 vulnerabilità nella tecnologia del browser Chromium di Google, su cui si basa il browser Edge di Microsoft.
Bug di sicurezza attivamente sfruttato
Il difetto che gli aggressori stanno attivamente sfruttando (CVE-2022-44698) non è tra i più critici dei bug per i quali Microsoft ha rilasciato patch oggi. Il difetto offre agli aggressori un modo per aggirare la funzionalità di sicurezza di Windows SmartScreen per proteggere gli utenti da file dannosi scaricati da Internet.
"Un utente malintenzionato può creare un file dannoso che eluderebbe le difese Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come la visualizzazione protetta in Microsoft Office, che si basa sul tagging MOTW", ha affermato Microsoft.
CVE-2022-44698 presenta solo un rischio relativamente piccolo per le organizzazioni, afferma Kevin Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs. "Deve essere utilizzato in collaborazione con un file eseguibile o altro codice dannoso come un documento o un file di script", afferma Breen. "In queste situazioni, questo CVE aggira alcune delle funzionalità di scansione e rilevamento della reputazione integrate di Microsoft, vale a dire SmartScreen, che normalmente apparirebbe per informare un utente che il file potrebbe non essere sicuro."
Allo stesso tempo, gli utenti non dovrebbero sottovalutare la minaccia e dovrebbero risolvere rapidamente il problema, consiglia Breen.
Microsoft ha descritto un altro difetto, un problema di elevazione dei privilegi nel kernel DirectX Graphics, come un exploit zero-day pubblicamente noto ma non sotto attivo. La società ha valutato la vulnerabilità (CVE-2022-44710) come "Importante" in termini di gravità e che consentirebbe a un utente malintenzionato di ottenere privilegi a livello di sistema se sfruttato. Tuttavia, la società ha descritto il difetto come uno che è meno probabile che gli aggressori sfruttino.
Vulnerabilità da correggere ora
ZDI di Trend Micro ha segnalato come significative altre tre vulnerabilità nell'aggiornamento di sicurezza del Patch Tuesday di dicembre: CVE-2022-44713, CVE-2022-41076e CVE-2022-44699.
CVE-2022-44713 è una vulnerabilità di spoofing in Microsoft Outlook per Mac. La vulnerabilità consente a un utente malintenzionato di apparire come un utente fidato e indurre una vittima a confondere un messaggio di posta elettronica come se provenisse da un utente legittimo.
"Non evidenziamo spesso bug di spoofing, ma ogni volta che hai a che fare con un bug di spoofing in un client di posta elettronica, dovresti prenderne atto", Dustin Childs, responsabile della consapevolezza delle minacce di ZDI ha detto in un post sul blog. La vulnerabilità potrebbe rivelarsi particolarmente problematica se combinata con il suddetto difetto di bypass SmartScreen MoTW che gli aggressori stanno sfruttando attivamente, ha affermato.
CVE-2022-41076 è una vulnerabilità di esecuzione di codice remoto (RCE) di PowerShell che consente a un utente malintenzionato autenticato di sfuggire alla configurazione della sessione remota di PowerShell ed eseguire comandi arbitrari su un sistema interessato, ha affermato Microsoft.
L'azienda ha valutato la vulnerabilità come qualcosa che è più probabile che gli aggressori compromettano, anche se la complessità dell'attacco stesso è elevata. Secondo Childs, le organizzazioni dovrebbero prestare attenzione alla vulnerabilità perché è il tipo di difetto che gli aggressori spesso sfruttano quando cercano di "vivere dei frutti della terra" dopo aver ottenuto l'accesso iniziale a una rete.
"Sicuramente non ignorare questa patch", ha scritto Childs.
Infine, CVE-2022-44699 è un'altra vulnerabilità di bypass della sicurezza, questa volta in Azure Network Watcher Agent - che, se sfruttati, potrebbero influire sulla capacità di un'organizzazione di acquisire i registri necessari per la risposta agli incidenti.
"Potrebbero non essere molte le aziende che si affidano a questo strumento, ma per coloro che utilizzano questa estensione VM [Azure Network Watcher], questa correzione dovrebbe essere considerata critica e distribuita rapidamente", ha affermato Childs.
Ricercatori con Cisco Talos identificato altre tre vulnerabilità critici e problemi che le organizzazioni devono affrontare immediatamente. Uno di questi è CVE-2022-41127, una vulnerabilità RCE che interessa Microsoft Dynamics NAV e le versioni locali di Microsoft Dynamics 365 Business Central. Un exploit riuscito potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario sui server che eseguono l'applicazione ERP Dynamics NAV di Microsoft, hanno affermato i ricercatori di Talos in un post sul blog.
Le altre due vulnerabilità che il fornitore considera di grande importanza sono CVE-2022-44670 ed CVE-2022-44676, entrambi difetti RCE nel protocollo SSTP (Secure Socket Tunneling Protocol) di Windows.
"Il successo dello sfruttamento di queste vulnerabilità richiede che un utente malintenzionato vinca una race condition, ma potrebbe consentire a un utente malintenzionato di eseguire codice in remoto sui server RAS", secondo l'advisory di Microsoft.
Tra le vulnerabilità che il SANS Centro Tempesta Internet identificati come importanti sono (CVE-2022-41089), un RCE in .NET Framework e (CVE-2022-44690) in Microsoft SharePoint Server.
In un post sul blog, Mike Walters, vicepresidente della ricerca sulle vulnerabilità e sulle minacce presso Action1 Corp., ha anche indicato una vulnerabilità legata all'elevazione dei privilegi di Windows Print Spooler (CVE-2022-44678), come un altro problema guardare.
"È molto probabile che il CVE-2022-44678 appena risolto venga sfruttato, il che è probabilmente vero perché Microsoft ha risolto un'altra vulnerabilità zero-day relativa a Print Spooler il mese scorso", ha affermato Walters. "Il rischio di CVE-2022-44678 è lo stesso: un utente malintenzionato può ottenere i privilegi di SISTEMA dopo uno sfruttamento riuscito - ma solo localmente”.
Un numero di bug confuso
È interessante notare che diversi fornitori hanno avuto opinioni diverse sul numero di vulnerabilità che Microsoft ha corretto questo mese. ZDI, ad esempio, ha valutato che Microsoft ha corretto 52 vulnerabilità; Talos ha fissato il numero a 48, SANS a 74 e Action1 inizialmente aveva patchato da Microsoft 74, prima di ridurlo a 52.
Johannes Ullrich, decano della ricerca per il SANS Technology Institute, afferma che il problema ha a che fare con i diversi modi in cui si possono contare le vulnerabilità. Alcuni, ad esempio, includono le vulnerabilità di Chromium nel loro conteggio mentre altri no.
Altri, come SANS, includono anche avvisi di sicurezza che a volte accompagnano gli aggiornamenti Microsoft come vulnerabilità. Microsoft a volte rilascia anche patch durante il mese, che include anche nel successivo aggiornamento Patch Tuesday, e alcuni ricercatori non le contano.
"Il conteggio delle patch a volte può creare confusione, poiché il ciclo Patch Tuesday è tecnicamente da novembre a dicembre, quindi includerà anche le patch che sono state rilasciate fuori banda all'inizio del mese e può anche includere aggiornamenti da fornitori di terze parti", afferma Breen. . "Le più importanti di queste sono le patch di Google di Chromium, che è la base del browser Edge di Microsoft."
Breen dice che dal suo conteggio ci sono 74 vulnerabilità patchate dall'ultimo Patch Tuesday di novembre. Ciò include 51 di Microsoft e 23 di Google per il browser Edge.
"Se escludiamo sia le patch out-of-band che Google Chromium, oggi sono state rilasciate 49 patch per le vulnerabilità", afferma.
Un portavoce di Microsoft afferma che il numero di nuovi CVE per i quali la società ha rilasciato oggi le patch è stato di 48.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
