Sono 98 le vulnerabilità affrontate e corrette da Microsoft in occasione del Patch Tuesday di gennaio 2023.
Tra gli aggiornamenti disponibili nel pacchetto cumulativo, anche quelli per due vulnerabilità zero-day, di cui una già sfruttata in attacchi documenti ma per i quali non sono stati forniti ulteriori dettagli: ricordiamo, infatti, che dal mese di novembre 2020 Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software.
Una scelta, questa, che se da un lato rimuove alcune informazioni utili relative, ad esempio, alla portata delle vulnerabilità individuate, a come potrebbero essere sfruttate e a quale potrebbe essere il risultato del loro exploiting, dall’altro concede più tempo agli utenti e agli amministratori di sistema di applicare le patch ai propri sistemi prima che i bug vengano attivamente sfruttati anche da altri attori delle minacce.
Delle 98 vulnerabilità, 11 sono classificate come critiche, 87 come importanti in termini di gravità e sono così suddivise:
- 39 sono di tipo EoP (Elevation of Privilege);
- 4 consentono il bypass delle funzioni di sicurezza;
- 33 sono di tipo RCE (Remote Code Execution);
- 10 di tipo ID (Information Disclosure);
- 10 di tipo Denial of Service;
- 2 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,94/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Patch Tuesday gennaio 2023: le vulnerabilità zero-day
La vulnerabilità sotto attacco attivo è stata tracciata come CVE-2023-21674, con un punteggio CVSS di 8.8 su 10: identificata nel componente Windows Advanced Local Procedure Call (ALPC), è di tipo privilege escalation e potrebbe quindi essere sfruttata da un aggressore per ottenere permessi a livello SYSTEM.
“Questa vulnerabilità potrebbe portare all’evasione della sandbox del browser”, ha osservato Microsoft nel relativo bollettino di sicurezza.
Come dicevamo, al momento non sono stati forniti ulteriori dettagli tecnici: si sa soltanto che un exploit della vulnerabilità richiede che l’attaccante abbia già ottenuto un accesso iniziale sulla macchina target. È dunque probabile che, per consentire all’attaccante di evadere dalla sandbox e ottenere privilegi elevati, la falla debba essere sfruttata in abbinamento a un’altra già presente nel browser Web.
Successivamente, potrebbe consentire di spostarsi all’interno della rete o di ottenere ulteriori livelli di accesso più elevati.
La seconda vulnerabilità zero day corretta in occasione del Patch Tuesday di gennaio 2023 è stata tracciata come CVE-2023-21549 e identificata nel componente Windows SMB Witness Service. Un Proof of Concept (PoC) risulta essere già disponibile in rete, ma al momento non si hanno notizie di uno sfruttamento in attacchi reali.
Gli ultimi aggiornamenti per Windows 7 e 8.1
Il Patch Tuesday di gennaio 2023 coincide anche con il rilascio degli ultimi aggiornamenti di sicurezza per le versioni di Windows 7 e Windows 8.1.
Come sappiamo, per Windows 7 è già terminato il cosiddetto Extended Security Updates (ESU), un periodo triennale in cui è possibile ottenere, a pagamento, ulteriori aggiornamenti di sicurezza per il sistema operativo anche se è terminato il supporto ufficiale da parte di Microsoft.
Windows 8.1, invece, il cui supporto ufficiale è terminato il 10 gennaio 2023, non riceverà più alcun aggiornamento, non essendo previsto alcun piano ESU.
Dunque, continuare a utilizzare entrambi i sistemi operativi potrebbe aumentare l’esposizione di un’organizzazione ai rischi per la sicurezza o influire sulla sua capacità di soddisfare gli obblighi di conformità: eventuali vulnerabilità non ancora corrette continueranno ad essere potenzialmente sfruttabili negli anni a venire. E questo non è un problema di poco conto se consideriamo, ad esempio, che solo in questo mese sono state rilasciate le patch per 42 vulnerabilità in Windows 7 e 48 in Windows 8.
Inoltre, se è vero che i bug scoperti nelle vecchie versioni del sistema operativo possono continuare a colpire le versioni più recenti perché relative al codice legacy, non si può escludere che le nuove vulnerabilità possono essere “adattate” anche alle vecchie versioni di Windows. Anzi, considerando che le vecchie versioni dei sistemi operativi adottavano impostazioni di sicurezza meno restrittive rispetto a Windows 11, l’exploiting delle vulnerabilità potrebbe essere addirittura più semplice.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di gennaio 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di gennaio 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
