Sono 38 le vulnerabilità affrontate e corrette da Microsoft in occasione del Patch Tuesday di maggio 2023, pubblicato come sempre il secondo martedì del mese in America e “arrivato” da noi il mercoledì successivo. Nel pacchetto cumulativo di aggiornamenti sono presenti anche le correzioni per tre zero-day (CVE-2023-29336, CVE-2023-24932 e CVE-2023-29325) di cui le ultime due risultano essere già sfruttate attivamente.
Delle 38 falle di sicurezza, sei sono classificate come critiche in quanto consentono l’esecuzione di codice remoto, uno dei tipi più gravi di vulnerabilità perché potrebbe potenzialmente consentire di prendere il pieno controllo del sistema target. Le altre 32 sono state invece classificate come importanti.
Da segnalare che, come riportato nel bollettino di sicurezza Microsoft, otto delle 38 vulnerabilità corrette in occasione del Patch Tuesday di maggio 2023 sono state etichettate come “Exploitation More Likely”, cioè con elevata probabilità di sfruttamento.
Le vulnerabilità sono così classificate:
- 8 sono di tipo EoP (Elevation of Privilege);
- 4 consentono il bypass delle funzioni di sicurezza;
- 12 sono di tipo RCE (Remote Code Execution);
- 8 di tipo ID (Information Disclosure);
- 5 di tipo Denial of Service;
- 1 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dallo CSIRT Italia, la stima d’impatto delle vulnerabilità è alto/arancione (72,94/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Secure Boot
Tra gli aggiornamenti di sicurezza del Patch Tuesday di maggio 2023 sono presenti anche quelli per risolvere la vulnerabilità zero-day CVE-2023-24932 in Secure Boot che è stata già sfruttata dal malware BlackLotus UEFI per infettare sistemi Windows completamente patchati.
La vulnerabilità consente a un attaccante di eseguire codice autofirmato a livello UEFI sulle macchine in cui il Secure Boot è abilitato. Lo scopo è quello di ottenere persistenza nel sistema esposto ed eludere i sistemi di difesa.
Secondo i dettagli forniti, lo sfruttamento della vulnerabilità prevede che l’aggressore abbia accesso fisico o privilegi di amministrazione locale sul dispositivo preso di mira.
Lo sfruttamento della vulnerabilità, inoltre, avrebbe consentito agli attori della minaccia di aggirare le patch rilasciate per un’altra falla di sicurezza in Secure Boot identificata lo scorso anno e tracciata come CVE-2022-21894.
Tutti i sistemi Windows in cui sono abilitate le protezioni Secure Boot sono interessati da questa vulnerabilità, anche se gli aggiornamenti del Patch Tuesday di maggio 2023 la risolvono al momento solo su sistemi Windows 10, Windows 11 e Windows Server.
Secure Boot, lo ricordiamo, è una funzione di sicurezza che consente di bloccare i bootloader non attendibili sui computer dotati di firmware UEFI (Unified Extensible Firmware Interface) e chip TPM (Trusted Platform Module): lo scopo è quello di impedire il caricamento di rootkit durante il processo di avvio.
Per verificare se i sistemi di protezione di Secure Boot sono abilitate sul proprio sistema è sufficiente avviare l’applicazione System Information mediante il comando msinfo32. Se il Secure Boot State è impostato su ON, vuol dire che l’avvio sicuro del sistema operativo è attivo.
Come mitigare il rischio di sfruttamento della vulnerabilità
Come riportato nel bollettino di sicurezza KB5025885, è necessario eseguire alcuni passaggi manuali nell’ordine esatto riportato da Microsoft, altrimenti il sistema non si avvierà più:
- installare gli aggiornamenti del 9 maggio 2023 in tutte le versioni supportate e quindi riavviare il dispositivo prima di applicare le revoche;
- aggiornare il supporto di avvio con gli aggiornamenti di Windows rilasciati dopo il 9 maggio 2023 incluso;
- applicare le revoche per proteggersi dalla vulnerabilità in CVE-2023-24932.
Microsoft sta inoltre adottando un approccio graduale all’applicazione delle protezioni che risolvono la vulnerabilità CVE-2023-24932 per ridurre l’impatto sui clienti dovuto all’attivazione delle protezioni. Il calendario di implementazione prevede tre fasi:
- 9 maggio 2023: fase di distribuzione iniziale;
- 11 luglio 2023: seconda fase di distribuzione;
- primo trimestre 2024: fase di applicazione.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di maggio 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di maggio 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
