Sono 76 le vulnerabilità affrontate e corrette da Microsoft in occasione del Patch Tuesday di febbraio 2023, pubblicato come sempre il secondo martedì del mese in America (quindi il 14 febbraio 2023) e “arrivato” da noi il mercoledì successivo.
Tra gli aggiornamenti disponibili nel pacchetto cumulativo, anche quelli per tre vulnerabilità zero-day già attivamente sfruttate in rete ma per le quali non sono stati forniti ulteriori dettagli: ricordiamo, infatti, che dal mese di novembre 2020 Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software.
Una scelta, questa, che se da un lato rimuove alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting, dall’altro concede più tempo agli utenti e agli amministratori di sistema di applicare le patch ai propri sistemi prima che i bug vengano attivamente sfruttati anche da altri attori delle minacce.
Delle 76 vulnerabilità, 9 sono classificate come critiche in quanto consentono l’esecuzione di codice remoto sui dispositivi vulnerabili. Le rimanenti vulnerabilità sono invece classificate come importanti in termini di gravità.
Tutte le vulnerabilità sono così suddivise:
- 12 sono di tipo EoP (Elevation of Privilege);
- 2 consentono il bypass delle funzioni di sicurezza;
- 37 sono di tipo RCE (Remote Code Execution);
- 8 di tipo ID (Information Disclosure);
- 10 di tipo Denial of Service;
- 7 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (75,12/100).
Tutti i dettagli sul Patch Tuesday di febbraio 2023 sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle tre vulnerabilità zero-day
Come dicevamo, il Patch Tuesday di febbraio 2023 risolve tre vulnerabilità zero-day attivamente sfruttate e utilizzate in attacchi in rete.
La prima vulnerabilità, tracciata come CVE-2023-21823, è stata identificata nel componente Windows Graphics ed è di tipo Remote Code Execution (RCE). Se sfruttata, consente agli aggressori di eseguire comandi con i privilegi di livello SYSTEM.
Microsoft ha fatto sapere che la patch per questa vulnerabilità non verrà rilasciata attraverso i consueti canali di Windows Update ma tramite il Microsoft Store. Pertanto, coloro che avessero disabilitato gli aggiornamenti automatici nello Store, dovranno procedere manualmente con l’aggiornamento.
La seconda vulnerabilità zero-day corretta con il Patch Tuesday di febbraio 2023 è stata tracciata come CVE-2023-21715 e identificata in Microsoft Publisher. Si tratta di un bug che consente il bypass delle funzioni di sicurezza. In particolare, utilizzando un documento appositamente creato, potrebbe consentire a un attaccante di aggirare i criteri macro di Office che bloccano i file non attendibili o dannosi.
Lo sfruttamento di questa vulnerabilità consente, quindi, di eseguire le macro di un documento Publisher dannoso senza far comparire alcun avviso di sicurezza.
Come si legge nel relativo bollettino di sicurezza, “l’attacco viene eseguito localmente da un utente con autenticazione al sistema interessato. Un aggressore autenticato potrebbe sfruttare la vulnerabilità convincendo una vittima, attraverso tecniche di ingegneria sociale, a scaricare e aprire un file appositamente creato da un sito Web che potrebbe portare a un attacco locale sul computer”.
L’ultima vulnerabilità zero-day corretta con gli aggiornamenti di questo mese è stata tracciata come CVE-2023-23376 e identificata in Windows Common Log File System Driver.
Si tratta di un bug di tipo Elevation of Privilege e, se sfruttata, consente a un attaccante che sfrutti con successo questa vulnerabilità di ottenere i privilegi di livello SYSTEM.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di febbraio 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di febbraio 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
