Giornate di aggiornamenti per gli amministratori di sistema: come ogni mese, infatti, Microsoft ha rilasciato il Patch Tuesday per il mese di luglio 2023 per correggere 132 vulnerabilità tra cui sei zero-day già attivamente sfruttate.
Al momento, però, non si hanno ulteriori dettagli sugli attacchi portati a termine sfruttando l’exploit di queste sei vulnerabilità: dal mese di novembre 2020, infatti, Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software.
Delle 132 vulnerabilità, nove sono state classificate con un indice di gravità critico e 122 come importanti. Una vulnerabilità, invece, non ha al momento ricevuto alcuna classificazione.
Tutte le vulnerabilità sono così classificate:
- 33 sono di tipo EoP (Elevation of Privilege);
- 13 consentono il bypass delle funzioni di sicurezza;
- 37 sono di tipo RCE (Remote Code Execution);
- 19 di tipo ID (Information Disclosure);
- 22 di tipo Denial of Service;
- 7 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dallo CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,94/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle sei vulnerabilità zero-day
Dalle informazioni fornite da Microsoft nei rispettivi bollettini di sicurezza possiamo ricavare alcuni dettagli sulle vulnerabilità zero-day che risultano essere già sfruttate attivamente:
- CVE-2023-32046: classificata con un punteggio CVSS di 7.8 su 10.0, questa vulnerabilità interessa il componente Windows MSHTML Platform. È di tipo Elevation of Privilege (EoP) e un suo eventuale sfruttamento richiede l’apertura di un file opportunamente predisposto, tipicamente condiviso da un utente malintenzionato tramite e-mail o risorsa web.
- CVE-2023-32049: identificata nel componente Windows SmartScreen, è di tipo Security Feature Bypass con un punteggio CVSS pari a 8.8. Il suo sfruttamento richiede l’apertura di una URL opportunamente predisposta da un utente malintenzionato.
- CVE-2023-35311: interessa la suite per ufficio Microsoft Outlook. È di tipo Security Feature Bypass e con punteggio CVSS pari a 8.8. Lo sfruttamento richiede l’apertura di una URL opportunamente predisposta da un utente malintenzionato.
- CVE-2023-36874: identificata in Windows Error Reporting Service, è di tipo Elevation of Privilege e con punteggio CVSS di 7. Su 10.8. Lo sfruttamento della vulnerabilità richiede l’accesso fisico al dispositivo e la possibilità di creare file e cartelle con privilegi limitati.
- CVE-2023-36884: identificata in Office and Windows HTML, è di tipo Remote Code Execution (RCE) e con punteggio CVSS di 8.3 su 10.0. Lo sfruttamento della vulnerabilità richiede l’apertura di un file Office opportunamente predisposto.
- ADV230001: è l’unica delle vulnerabilità corrette in occasione del Patch Tuesday di luglio 2023 a non avere ancora ricevuto alcuna classificazione. Si tratta, comunque, di un problema di sicurezza relativo all’uso dannoso di driver firmati Microsoft per attività successive all’exploit.
Vulnerabilità in Office usata in attacchi contro la NATO
Secondo quanto riportato nel bollettino di sicurezza pubblicato in occasione del rilascio
del Patch Tuesday di luglio 2023, Microsoft sarebbe a conoscenza di alcuni attacchi mirati contro enti di difesa e governativi in Europa e Nord America condotti sfruttando la vulnerabilità zero-day CVE-2023-36884 e senza richiedere alcuna interazione da parte delle vittime.
L’exploit porterebbe, quindi, a una perdita totale di riservatezza, disponibilità e integrità dei dati, consentendo agli aggressori di accedere a informazioni sensibili, disattivare la protezione del sistema colpito e negare l’accesso al sistema compromesso.
I vettori di attacco sarebbero dei documenti Microsoft Office appositamente creati e relative a presunte notizie sul Congresso mondiale ucraino.
In particolare, i documenti Microsoft Office malevoli potrebbero consentire agli attaccanti di eseguire codice remoto con gli stessi privilegi della vittima. In realtà, però, lo sfruttamento della vulnerabilità è complicato dal fatto che l’aggressore dovrebbe convincerla ad aprire il file dannoso. Si presuppone, dunque, che gli attacchi vengano condotti utilizzando tecniche di phishing o di social engineering.
La stessa Microsoft ha attribuito la campagna di attacco a un gruppo di criminali informatici russi identificato come Storm-0978 (o anche con i nomi RomCom, Tropical Scorpius, UNC2596 e Void Rabisu) e noto per aver distribuito il ransomware Underground strettamente correlato al ransomware Industrial Spy.
A quanto pare, lo sfruttamento della vulnerabilità zero-day CVE-2023-36884 ha consentito agli attori della minaccia di installare una backdoor sul sistemi esposti.
Inoltre, sono stati tracciati alcuni recenti attacchi di phishing che hanno sfruttato versioni malevoli di software legittimi distribuiti mediante siti web controllati dallo stesso gruppo criminale per distribuire il trojan di accesso remoto RomCom RAT ai danni di obiettivi ucraini e filo-ucraini nell’Europa dell’Est e nel Nord America.
Mitigazione manuale della vulnerabilità zero-day in Office
Qualora non fosse possibile installare subito la patch per la vulnerabilità zero-day CVE-2023-36884, Microsoft afferma che i clienti che utilizzano l’antivirus Defender per Office e quelli che hanno attivato la regola di riduzione della superficie di attacco Blocca tutte le applicazioni di Office dalla creazione di processi figlio sono protetti dagli attacchi di phishing che tentano di sfruttare il bug.
Tutti gli altri utenti possono invece aggiungere i seguenti nomi di applicazioni alla chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION come valori di tipo REG_DWORD con dati 1:
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Questa modifica al registro di configurazione di Windows, però, potrebbe avere un impatto su alcune funzionalità di Microsoft Office legate alle applicazioni sopra elencate.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di questo mese è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
