Sono stati rilasciati gli aggiornamenti del Patch Tuesday per il mese di maggio 2024 con cui Microsoft ha corretto 61 vulnerabilità in diversi suoi prodotti.
Tra le patch disponibili anche quelle per due vulnerabilità zero-day che risultano essere già sfruttate attivamente in rete. Con il pacchetto cumulativo di aggiornamenti è stata corretta anche una terza vulnerabilità zero-day per la quale risulta essere disponibile in rete un PoC (Proof of Concept) per un suo eventuale sfruttamento.
Ricordiamo che Microsoft classifica una zero-day come una vulnerabilità divulgata pubblicamente o sfruttata attivamente senza che sia ancora disponibile una correzione ufficiale.
Delle 61 vulnerabilità, una è stata classificata con un indice di gravità critico, 59 sono classificate come importanti e una come moderata.
Di seguito, le differenti tipologie di vulnerabilità corrette questo mese:
- 17 di elevazione dei privilegi (EoP, Elevation of Privilege);
- 2 consentono il bypass delle funzioni di sicurezza;
- 27 di esecuzione di codice remoto (RCE, Remote Code Execution);
- 7 di divulgazione delle informazioni;
- 3 di tipo DoS (negazione del servizio);
- 4 di spoofing.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, l’impatto delle vulnerabilità è grave/rosso (77,94/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
Come dicevamo, tra le vulnerabilità di sicurezza corrette in occasione del Patch Tuesday di maggio 2024 che ne sono anche tre classificate come zero-day.
Due di queste, risultano essere già attivamente sfruttate in rete: la prima, tracciata come CVE-2024-30040 e con punteggio CVSS di 8.8 su 10, è una vulnerabilità di bypass delle funzionalità di sicurezza integrate nella piattaforma Windows MSHTML.
Come si legge nel relativo bollettino di sicurezza, “un aggressore dovrebbe convincere l’utente a caricare un file dannoso su un sistema vulnerabile, in genere tramite un messaggio di posta elettronica o di messaggistica istantanea, e poi convincere l’utente a manipolare il file appositamente creato, ma non necessariamente a fare clic o ad aprire il file dannoso”.
“Un aggressore non autenticato che sfruttasse con successo questa vulnerabilità”, si legge ancora nel bollettino, “potrebbe ottenere l’esecuzione di codice convincendo un utente ad aprire un documento dannoso e a quel punto l’aggressore potrebbe eseguire codice arbitrario nel contesto dell’utente”.
La seconda vulnerabilità zero-day è stata tracciata come CVE-2024-30051 con punteggio CVSS di 7.8 su 10. Si tratta di una vulnerabilità di elevazione dei privilegi della libreria DWM Core di Windows e che, in particolare, potrebbe consentire a un attaccante di acquisire privilegi a livello SYSTEM.
Al momento, non sono stati forniti altri dettagli sugli attacchi portati a termine sfruttando l’exploit delle due vulnerabilità zero-day corrette con il pacchetto cumulativo di aggiornamenti relativo al mese di maggio 2024: dal mese di novembre 2020, infatti, Microsoft ha adottato una nuova politica di gestione dei bollettini di sicurezza, decidendo di ristrutturarli usando il formato del Common Vulnerability Scoring System (CVSS) per allinearsi con gli avvisi di altri importanti fornitori di software.
Qualche dettaglio in più arriva dai ricercatori di Kaspersky secondo cui la vulnerabilità CVE-2024-30051 è stata sfruttata in recenti attacchi di phishing utilizzando documenti dannosi per la diffusione di Qakbot e di altri malware, il che lascia intuire che più attori delle minacce abbiano accesso a questo exploit.
La scoperta è stata fatta dai ricercatori Kaspersky durante le indagini sulla vulnerabilità Windows DWM Core Library Elevation of Privilege (CVE-2023-36033) all’inizio di aprile 2024. In particolare, il primo aprile 2024 un documento caricato su VirusTotal ha attirato l’attenzione dei ricercatori. Il file, con un nome descrittivo, indicava una potenziale vulnerabilità del sistema operativo Windows.
Nonostante l’inglese approssimativo e la mancanza di dettagli su come attivare la vulnerabilità, il documento descriveva un processo di sfruttamento identico all’exploit zero-day per la CVE-2023-36033, sebbene le vulnerabilità fossero diverse.
Sospettando che la vulnerabilità fosse una simulazione o non sfruttabile, il team ha continuato con le indagini ma un rapido controllo ha rivelato che si trattava di una vulnerabilità zero-day reale, in grado di aumentare i livelli di privilegi del sistema.
Anche Kaspersky rilascerà ulteriori dettagli tecnici relativi alla vulnerabilità CVE-2024-30051 quando sarà trascorso un periodo di tempo sufficiente per consentire alla maggior parte degli utenti di aggiornare i propri sistemi Windows.
C’è già il PoC per una terza vulnerabilità zero-day
Il Patch Tuesday del mese di maggio 2024 corregge anche una terza vulnerabilità zero-day, tracciata come CVE-2024-30046, per la quale risulta essere disponibile in rete un PoC per un suo eventuale sfruttamento.
Si tratta di una vulnerabilità di tipo DoS (Denial of Service) del quale, al momento, non si conoscono altri dettagli. L’unica certezza è che finora non si hanno notizie di un suo sfruttamento attivo.
Installiamo gli aggiornamenti Microsoft
L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch. In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
