Patch Tuesday corregge 4 bug RCE critici e una serie di buchi di Office

Nessun giorno zero questo mese, se ignori il buco Edge RCE rattoppato la settimana scorsa (assicurati di avere quell'aggiornamento, tra l'altro):

Per un elenco completo delle correzioni di Microsoft Patch Tuesday di questo mese, dai un'occhiata al nostro sito gemello Sophos News, dove gli analisti di SophosLabs hanno raccolto elenchi completi dei numerosi CVE Microsoft che sono stati risolti questo mese:

Proprio come piace a te

Utilmente, i nostri ricercatori hanno creato più liste, facilmente ordinati per tipo di bug e gravità (così puoi distinguere le tue esecuzioni di codice remoto dalle tue elevazioni di privilegio); dalle ipotesi di Microsoft al probabilità che i truffatori scoprano exploit funzionanti per ogni bug (nel caso in cui ti piaccia dare la priorità ai tuoi sforzi in questo modo), e per Tipologia di prodotto (se ti piace dividere i tuoi sforzi di patching tra il tuo team di server, i tuoi esperti di Office e il tuo team di supporto del laptop).

Nel caso te lo stessi chiedendo, c'erano 26 patch RCE (Remote Code Execution)., inclusi quattro soprannominati "Critico", anche se tre di questi sembrano essere bug correlati che sono stati trovati e corretti insieme in un singolo componente di Windows.

Le patch RCE generalmente causano la maggiore preoccupazione, perché si occupano di bug che possono, almeno in teoria, essere sfruttati da aggressori che non hanno ancora un punto d'appoggio sulla tua rete, il che significa che rappresentano possibili modi di irruzione dei criminali innanzitutto.

C'erano 17 correzioni di elevazione dei privilegi (EoP)., solo uno dei quali è considerato "critico" da Microsoft, ironicamente in SharePoint Server, che è proprio lo strumento su cui molte aziende si affidano per scambiare grandi quantità di dati in modo sicuro all'interno delle loro reti.

In altre parole, l'accesso non autorizzato a SharePoint potrebbe fornire agli aggressori un pass gratuito per entrare direttamente nei dati dei trofei propri o anche dei propri clienti, come è successo di recente a numerose aziende che utilizzano il servizio di condivisione di file concorrente MUOVITI.

Come probabilmente saprai, il problema con i bug EoP è che spesso vengono sfruttati come seconda fase di un attacco dall'esterno, utilizzati dai criminali informatici per aumentare i propri privilegi di accesso il prima possibile dopo l'irruzione.

Ciò può trasformare una violazione della sicurezza iniziata con un'esposizione iniziale relativamente limitata (ad esempio, accesso non autorizzato solo ai file locali sul laptop di un utente)...

…in un incidente molto più pericoloso (ad esempio, accesso non autorizzato al laptop di tutti gli altri attraverso la rete e forse anche a tutti i server aziendali, come database dei clienti, sistemi di pagamento, backup e altro).

Fori notevoli

Gli esperti di SophosLabs hanno identificato sei dei CVE come "notevoli".

Vai al nostro rapporto di lunga durata per ulteriori informazioni su questi sei bug.

Per ora ne elenchiamo solo cinque:

• CVE-2023-29357. Vulnerabilità relativa all'acquisizione di privilegi più elevati di Microsoft SharePoint Server. Questo bug potrebbe fornire a un truffatore che ha accesso alla tua rete, ma che non ha un accesso al tuo sistema SharePoint, un modo per rubare le credenziali di accesso di un utente legittimo e quindi eludere la necessità di trovare un nome utente, password o codice 2FA proprio.
• CVE-2023-29363, -32014 e -32015. Vulnerabilità legata all'esecuzione di codice in modalità remota di Windows Pragmatic General Multicast (PGM). Se utilizzi il servizio di accodamento dei messaggi di Windows nella tua rete, questi bug potrebbero consentire agli aggressori di indurre un dispositivo sulla tua rete a eseguire codice di loro scelta.
• CVE-2023-33146. Vulnerabilità legata all'esecuzione di codice in modalità remota di Microsoft Office. Apparentemente, quindi, il bug può essere attivato da file SketchUp con trappole esplosive (non abbiamo mai nemmeno sentito parlare, figuriamoci usato, dell'app SketchUp, ma a quanto pare è un popolare programma di grafica 3D) incorporato in una vasta gamma di file Office, incluso Word , Excel, PowerPoint e Outlook.

Curiosamente, la patch per CVE-2023-33146 sembra essere sintomatica di più ampi problemi di sicurezza irrisolti nel supporto di Office per la gestione degli oggetti di SketchUp, presumibilmente a causa della difficoltà di analizzare, elaborare e incorporare in modo sicuro un altro formato di file complesso nei documenti di Office.

In effetti, il 2023-06-01, Microsoft annunciato ufficialmente che stava disattivando il sistema di incorporamento di SketchUp fino a nuovo avviso (la nostra enfasi):

La possibilità di inserire elementi grafici di SketchUp (file .skp) è stata temporaneamente disabilitata in Word, Excel, PowerPoint e Outlook per Windows e Mac. Le versioni di Office in cui questa funzionalità era abilitata non potranno più accedervi. […] Apprezziamo la tua pazienza mentre lavoriamo per garantire la sicurezza e la funzionalità di questa funzione.

Funzionalità creep per cui gli oggetti incorporati nei file di Office introducono nuovi rischi per la sicurezza... chi lo sapeva?

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
• Quantum Media Group. IR/PR amplificato. Accedi qui.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/