Microsoft ha superato se stessa con le versioni Patch Tuesday di questo mese, che non contengono patch zero-day, anche se almeno una delle patch risolve un difetto già attivamente sfruttato.
I prodotti interessati dagli aggiornamenti più recenti del Patch Tuesday includono Windows e i componenti di Windows; Azzurro; .NET Framework e Visual Studio; Server SQL; Server DNS; Windows Defender; BitLocker; e Avvio protetto di Windows.
L'aggiornamento di aprile di Microsoft includeva 147 CVE, tre classificati come "critici", 142 classificati come "importanti" e due elencati come "moderati" in termini di gravità. Quel numero sale a 155 CVE se si includono i difetti di terze parti. Il numero rappresenta un livello record per le correzioni del Patch Tuesday.
"Microsoft ha applicato patch a 147 CVE in aprile, il maggior numero di CVE applicati in un mese da quando abbiamo iniziato a monitorare questi dati nel 2017", ha affermato in una nota Satnam Narang, ingegnere ricercatore senior presso Tenable. "L'ultima volta che sono state applicate patch a oltre 100 CVE è stato nell'ottobre del 2023, quando Microsoft ha affrontato 103 CVE." Il massimo precedente era stato raggiunto nel luglio 2023, con 130 CVE corretti, ha aggiunto Narang.
Microsoft non ha indicato che nessuno dei CVE del Patch Tuesday di aprile sia una minaccia zero-day, un gradito allontanamento dalla rapida clip di divulgazioni zero-day dello scorso anno.
“In questo periodo, l’anno scorso, sono state sfruttate in natura sette vulnerabilità zero-day”, ha affermato Narang. Quest’anno sono stati sfruttati solo due giorni zero ed entrambi sono avvenuti a febbraio. "È difficile individuare il motivo per cui abbiamo assistito a questo calo, se si tratti semplicemente di una mancanza di visibilità o se indichi una tendenza da parte degli aggressori a utilizzare vulnerabilità note come parte dei loro attacchi alle organizzazioni."
Tuttavia, Dustin Childs della Zero Day Initiative ha notato nel suo aprile Analisi del Patch Tuesday di Microsoft che la sua organizzazione ha prove di un difetto noto sfruttato nell'elenco delle correzioni di questo mese.
Correzioni del Patch Tuesday per dare priorità
Childs ha sottolineato la vulnerabilità di massima gravità in SmartScreen Prompt Security Feature Bypass (CVE-2024-29988) con un punteggio CVSS di 8.8, scoperto da ZDI ma non elencato come sfruttato nell'aggiornamento Patch Tuesday di Microsoft.
"Tuttavia, il bug segnalato dal cacciatore di minacce ZDI Peter Girrus è stato trovato in natura", ha aggiunto Childs. "Abbiamo prove che questo venga sfruttato in natura e lo elenco come tale."
Un altro bug di massima gravità che influisce sulla vulnerabilità legata all'esecuzione di codice remoto in runtime con chiamata di procedura remota (CVE-2024-20678) ha ricevuto un punteggio CVSS di 8.8 ed è stato aggiornato questo mese da Microsoft.
Una vulnerabilità di spoofing (CVE-2024-20670), elencato come gravità massima con un CVSS di base pari a 8.1, è stato corretto in Outlook per Windows. E un'esecuzione di codice remoto del server DNS Windows, elencata anche come gravità massima (CVE-2024-26221) con un punteggio CVSS di 7.2, è stato anch'esso corretto.
Microsoft SQL ottiene molte patch
Secondo Kev Breen, direttore senior della ricerca sulle minacce per Immersive Labs, le vulnerabilità di Microsoft SQL Server costituiscono gran parte delle correzioni del Patch Tuesday di questo mese.
"Anche se a prima vista può sembrare che Microsoft abbia individuato un gran numero di vulnerabilità nelle sue ultime note, 40 di queste sono tutte correlate allo stesso prodotto: Microsoft SQL Server", ha affermato Breen in una nota. "Il problema principale riguarda i client utilizzati per connettersi a un server SQL, non il server stesso."
Breen ha continuato spiegando che tutto ciò richiederebbe ingegneria sociale, rendendo difficile sfruttare i difetti SQL in qualsiasi modo utile.
"Tutte le vulnerabilità segnalate seguono uno schema simile: affinché un utente malintenzionato possa ottenere l'esecuzione del codice, deve convincere un utente autenticato all'interno di un'organizzazione a connettersi a un server SQL remoto controllato dall'utente malintenzionato", ha aggiunto Breen. “Anche se non è impossibile, è improbabile che questo venga sfruttato su larga scala dagli aggressori”.
I team di sicurezza preoccupati per questi tipi di attacchi dovrebbero cercare attività anomale e bloccare le connessioni in uscita tranne che verso server attendibili.
Difetti di avvio sicuro e prompt di Microsoft SmartScreen
Narang di Tenable ha notato la correzione di questo mese per il bypass della funzionalità di sicurezza SmartScreen Prompt (CVE-2024-29988), con il suo punteggio CVSS di 8.8, si affida anch'esso all'ingegneria sociale per rendere possibile lo sfruttamento. Un bug zero-day simile (CVE-2024-21412), scoperto dagli stessi ricercatori, è stato utilizzato in una campagna DarkGate impersonando marchi famosi come Apple iTunes.
"Microsoft Defender SmartScreen dovrebbe fornire protezioni aggiuntive agli utenti finali contro phishing e siti Web dannosi", ha affermato Narang. "Tuttavia, come suggerisce il nome, questi difetti aggirano queste funzionalità di sicurezza, il che porta all'infezione degli utenti finali da parte di malware."
Narang ha anche suggerito ai team di sicurezza di dare un'occhiata alle 24 correzioni dei difetti di Windows Secure Boot incluse nel rilascio del Patch Tuesday di aprile di Microsoft.
"L'ultima volta che Microsoft ha corretto un difetto in Windows Secure Boot (CVE-2023-24932) nel maggio 2023 ha avuto un impatto notevole poiché è stato sfruttato in modo selvaggio e collegato al bootkit UEFI BlackLotus, venduto sui forum del Dark Web per 5,000 dollari", ha affermato.
Malware BlackLotus è in grado di bloccare le protezioni di sicurezza durante l'avvio.
"Sebbene nessuna di queste vulnerabilità di Secure Boot affrontate questo mese sia stata sfruttata in natura, servono a ricordare che i difetti in Secure Boot persistono e che potremmo vedere più attività dannose relative a Secure Boot in futuro", ha sottolineato Narang.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
