Come ogni secondo martedì del mese (in America), anche per aprile 2023 Microsoft ha pubblicato il Patch Tuesday per correggere 97 vulnerabilità nei suoi sistemi operativi Windows e nel relativo software.
Tra queste, anche una vulnerabilità zero-day che risulta essere sfruttata attivamente in attacchi ransomware e un’altra che è una riedizione di una correzione per una falla del 2013 che un attore di minacce ha recentemente sfruttato in un attacco alla catena di fornitura di 3CX.
In occasione del Patch Tuesday di aprile 2023 è stato corretto anche un bug di tipo wormable che, se sfruttato, potrebbe consentire ai malware di diffondersi autonomamente tra i computer connessi alla stessa rete, configurando uno scenario di attacco simile a quello del famigerato ransomware WannaCry.
Nel complesso, delle 97 vulnerabilità sono sette quelle classificate come critiche, mentre le altre 90 sono state classificate come importanti.
Nel dettaglio, le vulnerabilità sono così suddivise:
- 20 sono di tipo EoP (Elevation of Privilege);
- 8 consentono il bypass delle funzioni di sicurezza;
- 45 sono di tipo RCE (Remote Code Execution);
- 10 di tipo ID (Information Disclosure);
- 9 di tipo Denial of Service;
- 5 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (75,12/100).
Tutti i dettagli sul Patch Tuesday di aprile 2023 sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Le gang ransomware usano sempre più spesso gli zero-day
La falla di sicurezza sfruttata attivamente in attacchi ransomware è stata tracciata come CVE-2023-28252 (punteggio CVSS: 7,8): si tratta di un bug di tipo EoP (elevazione di privilegi) nel Common Log File System (CLFS) di Windows.
Secondo quanto rilevato dai ricercatori del Global Research and Analysis Team (GReAT) di Kaspersky, un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa in attacchi ai danni di piccole e medie imprese concentrate al momento in Medio Oriente e Nord America e in precedenza nelle regioni asiatiche.
Questo conferma che i gruppi ransomware utilizzano sempre più spesso gli zero-day per massimizzare le conseguenze dei loro attacchi.
A differenza di altre vulnerabilità utilizzate da minacce APT (Advanced Persistent Threat), infatti, la nuova zero-day corretta in occasione del Patch Tuesday di aprile 2023 risulta essere sfruttata da un gruppo criminale specializzato in attacchi ransomware mirati nei settori della vendita al dettaglio e all’ingrosso, dell’energia, della produzione, della sanità e dello sviluppo software.
In particolare, la CVE-2023-28252 è una vulnerabilità di tipo “out-of-bounds” nel processo di scrittura in memoria che può essere sfruttata quando il sistema tenta di estendere il blocco dei metadati e viene attivata in seguito alla manipolazione del file di log di base del sistema operativo.
La CVE-2023-28252 è la quarta falla di tipo EoP individuata nell’ultimo anno nel componente CLFS, dopo la CVE-2022-24521, la CVE-2022-37969 e la CVE-2023-23376.
Alla luce dello sfruttamento attivo della vulnerabilità, la CISA (la Cybersecurity & Infrastructure Security Agency americana) ha aggiunto lo zero-day di Windows al suo catalogo di vulnerabilità sfruttate note, ordinando alle agenzie del Federal Civilian Executive Branch (FCEB) di mettere in sicurezza i loro sistemi entro il 2 maggio 2023.
I dettagli delle altre patch critiche
Un’altra patch contenuta nell’aggiornamento di aprile di Microsoft a cui i ricercatori raccomandano di prestare attenzione è CVE-2013-3900, una vulnerabilità di convalida della firma risalente a 10 anni fa nella funzione WinVerifyTrust di Windows.
Un attore delle minacce, probabilmente il gruppo Lazarus che ha legami con il governo della Corea del Nord, ha recentemente sfruttato la vulnerabilità in un attacco alla catena di approvvigionamento di 3CX, che ha portato il malware sui sistemi degli utenti del software di videoconferenza dell’azienda.
In realtà, Microsoft aveva già rilasciato una patch per questa specifica vulnerabilità nel 2013. Con l’aggiornamento di sicurezza di aprile, la correzione è stata ora resa disponibile per un maggior numero di piattaforme e inoltre sono state fornite maggiori raccomandazioni alle organizzazioni su come affrontare il problema di sicurezza.
Un’altra vulnerabilità critica à la CVE-2023-21554 che riguarda la tecnologia Microsoft Message Queuing (MSMQ) e consente agli aggressori di ottenere un RCE inviando un pacchetto MSMQ appositamente creato a un server MSMQ. La vulnerabilità interessa i sistemi Windows 10, 11 e Server 2008-2022 che hanno la funzione di accodamento dei messaggi abilitata sui loro sistemi.
Soprannominata QueueJumper dai ricercatori di Check Point, potrebbe portare all’esecuzione di codice non autorizzato e al controllo di un server inviando un pacchetto MSMQ malevolo appositamente creato a un server MSMQ.
Come riportato in un report di Check Point, la vulnerabilità QueueJumper consente a un utente malintenzionato di eseguire codice da remoto e senza autorizzazione raggiungendo la porta TCP 1801. In questo modo potrebbe ottenere il controllo del processo inviando un solo pacchetto contenente l’exploit con cui innescare la vulnerabilità.
Infine, con il Patch Tuesday di aprile 2023 Microsoft ha corretto anche altre due vulnerabilità identificate sempre in MSMQ e tracciate come CVE-2023-21769 e CVE-2023-28302 (entrambe con punteggio CVSS di 7,5). Qualora venissero, potrebbero causare una condizione di Denial of Service (DoS) con conseguente crash del servizio e schermata blu di errore (la famigerata Blue Screen of Death, BSoD) di Windows.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di aprile 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti: quindi, non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di aprile 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
