CISA sollecita la patch del bug di Windows 11 sfruttato entro il 2 agosto

Una vulnerabilità di Windows 11, parte della raccolta di correzioni del Patch Tuesday di Microsoft, viene sfruttata in natura, spingendo la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a consigliare di correggere il difetto di elevazione dei privilegi entro il 2 agosto.

La raccomandazione è diretta alle agenzie e alle preoccupazioni federali CVE-2022-22047, una vulnerabilità che presenta un punteggio CVSS elevato (7.8) ed espone il sottosistema CSRSS (Client Server Runtime Subsystem) di Windows utilizzato in Windows 11 (e versioni precedenti risalenti alla 7) e anche Windows Server 2022 (e versioni precedenti 2008, 2012, 2016 e 2019) per attaccare.

[Evento su richiesta GRATUITO: Unisciti a Zane Bond di Keeper Security in una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio di casa. GUARDA QUI.]

Il bug CSRSS è una vulnerabilità di elevazione dei privilegi che consente agli avversari con un punto d'appoggio prestabilito su un sistema mirato di eseguire codice come utente senza privilegi. Quando il bug è stato segnalato per la prima volta dal team di sicurezza di Microsoft all'inizio di questo mese, è stato classificato come zero-day o bug noto senza patch. Quella patch è stata resa disponibile su Martedì luglio 5.

I ricercatori di FortiGuard Labs, una divisione di Fortinet, hanno affermato che la minaccia che il bug rappresenta per le aziende è "media". In un bollettino, spiegano i ricercatori la valutazione declassata perché un avversario ha bisogno di un accesso "locale" avanzato o fisico al sistema mirato per sfruttare il bug ed è disponibile una patch.

Detto questo, un utente malintenzionato che ha precedentemente ottenuto l'accesso remoto a un sistema informatico (tramite infezione da malware) potrebbe sfruttare la vulnerabilità in remoto.

"Sebbene non ci siano ulteriori informazioni sullo sfruttamento rilasciate da Microsoft, si può presumere che un'esecuzione di codice remoto sconosciuta abbia consentito a un utente malintenzionato di eseguire movimenti laterali e aumentare i privilegi su macchine vulnerabili a CVE-2022-22047, consentendo in definitiva i privilegi di SISTEMA, ” ha scritto FortiGuard Labs.

Punti di ingresso di Office e documenti Adobe

Sebbene la vulnerabilità venga attivamente sfruttata, non ci sono exploit pubblici noti in natura che possano essere utilizzati per mitigare o talvolta alimentare gli attacchi, secondo un relazione di The Record.

"La vulnerabilità consente a un utente malintenzionato di eseguire codice come SYSTEM, a condizione che possa eseguire altro codice sul bersaglio", ha scritto Trend Micro's Zero Day Initiative (ZDI) nel suo Patch Tuesday rastrellamento la scorsa settimana.

“I bug di questo tipo sono in genere associati a un bug di esecuzione del codice, di solito un documento Office o Adobe appositamente predisposto, per assumere il controllo di un sistema. Questi attacchi spesso si basano su macro, motivo per cui così tanti sono rimasti scoraggiati nel sentire il ritardo di Microsoft nel bloccare tutte le macro di Office per impostazione predefinita", ha scritto l'autore di ZDI Dustin Childs.

Microsoft ha recentemente affermato che bloccherà l'uso delle macro di Visual Basic for Applications (VBA) per impostazione predefinita in alcune delle sue app di Office, tuttavia non ha impostato alcuna sequenza temporale per applicare i criteri.

CISA ha aggiunto il bug Microsoft al suo elenco in esecuzione di vulnerabilità note sfruttate il 7 luglio (cerca "CVE-2022-22047" per trovare la voce) e consiglia semplicemente "applica gli aggiornamenti in base alle istruzioni del fornitore".

[Evento su richiesta GRATUITO: Unisciti a Zane Bond di Keeper Security in una tavola rotonda di Threatpost e scopri come accedere in modo sicuro alle tue macchine da qualsiasi luogo e condividere documenti sensibili dal tuo ufficio di casa. GUARDA QUI.]

Immagine: per gentile concessione di Microsoft