Giornata di aggiornamenti per gli amministratori di sistema: come ogni mese, infatti, Microsoft ha rilasciato il Patch Tuesday per il mese di novembre 2022 per correggere 68 vulnerabilità tra cui sei zero-day già attivamente sfruttate.
Gli aggiornamenti interessano il sistema operativo e le sue applicazioni:
- Microsoft Windows e suoi componenti;
- Azure e Azure Real Time Operating System;
- Microsoft Dynamics;
- Exchange Server;
- Office e sue componenti;
- SysInternals;
- Visual Studio;
- SharePoint Server;
- Network Policy Server (NPS);
- Windows BitLocker;
- Linux Kernel e software open source.
In totale, delle 68 vulnerabilità corrette con l’aggiornamento di questo mese 12 sono classificate come critiche in quanto consentono l’elevazione dei privilegi, lo spoofing o l’esecuzione di codice remoto, uno dei tipi più gravi di vulnerabilità. Altre 2 vulnerabilità sono classificate con un indice di gravità elevato e 55 come importanti.
In particolare, le vulnerabilità sono così classificate:
- 27 sono di tipo EoP (Elevation of Privilege);
- 4 consentono il bypass delle funzioni di sicurezza;
- 16 sono di tipo RCE (Remote Code Execution);
- 11 di tipo ID (Information Disclosure);
- 6 di tipo Denial of Service;
- 4 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dallo CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,94/100).
Ricordiamo che il Patch Tuesday viene pubblicato in America ogni secondo martedì del mese (quindi ieri, 8 novembre 2022) e da noi, di conseguenza, “arriva” il mercoledì successivo.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di novembre 2022 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, quindi non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di novembre 2022, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
Le sei vulnerabilità zero-day già sfruttate
Come dicevamo, il Patch Tuesday di questo mese corregge sei vulnerabilità zero-day attivamente sfruttate, di cui una risulta essere stata divulgata pubblicamente.
Ricordiamo che Microsoft classifica una vulnerabilità come zero-day se è pubblicamente divulgata o attivamente sfruttata senza che sia disponibile una correzione ufficiale.
Le sei vulnerabilità zero-day attivamente sfruttate risolte negli aggiornamenti di oggi sono le seguenti:
- CVE-2022-41040 (punteggio CVSS di 8.8 su 10.0) e CVE-2022-41082 (punteggio CVSS di 8.8 su 10.0): le due vulnerabilità, note collettivamente come ProxyNotShell ed entrambe di tipo EoP (Elevation of Privilege), sono state identificate in Microsoft Exchange Server;
- CVE-2022-41128 (punteggio CVSS di 8.8 su 10.0): vulnerabilità di tipo RCE (Remote Code Execution) identificata in Windows Scripting Languages;
- CVE-2022-41125 (punteggio CVSS di 7.8 su 10.0): vulnerabilità di tipo EoP identificata in Windows CNG Key Isolation Service;
- CVE-2022-41073 (punteggio CVSS di 7.8 su 10.0): vulnerabilità di tipo EoP identificata in Windows Print Spooler;
- CVE-2022-41091 (punteggio CVSS di 5.4 su 10.0): vulnerabilità che consente il bypass delle funzioni di sicurezza e identificata in Windows Mark of the Web.
Come si legge nel bollettino di sicurezza pubblicato da Microsoft, le vulnerabilità di Exchange Server non riguardano gli utenti che usano Exchange Online in quanto risultano essere già protetti e non devono intraprendere alcuna azione, se non l’aggiornamento dei server Exchange presenti nel loro ambiente.
I dettagli delle vulnerabilità ProxyNotShell
Il Patch Tuesday di novembre 2022 era molto attesa dagli amministratori di sistema proprio per la presenza degli aggiornamenti delle vulnerabilità zero-day ad alta gravità ProxyNotShell identificate (e già ampiamente sfruttate dai criminali informatici almeno dallo scorso mese di settembre) nelle versioni 2013, 2016 e 2019 di Microsoft Exchange.
“Poiché siamo a conoscenza di exploit attivi di vulnerabilità correlate (attacchi mirati limitati), la nostra raccomandazione è di installare immediatamente questi aggiornamenti per essere protetti da questi attacchi”, ha avvertito il team Microsoft per lo sviluppo di Exchange.
Il loro sfruttamento, inoltre, consente agli aggressori di scalare i privilegi per eseguire PowerShell nel contesto del sistema e ottenere l’esecuzione di codice arbitrario o remoto.
La loro gravità è data dal fatto che gli aggressori sono riusciti a concatenare tra loro le due falle di sicurezza per implementare le shell web di Chinese Chopper sui server compromessi: in questo modo, sono in grado di garantirsi la persistenza e rubare dati riservati, nonché di compiere movimenti laterali nelle reti delle vittime.
Microsoft aveva già rilasciato alcune misure di mitigazione per consentire agli amministratori di Microsoft Exchange di bloccare gli attacchi ProxyNotShell, ma alcuni ricercatori hanno dimostrato che gli aggressori potevano ancora aggirarle e per questo motivo a Redmond hanno deciso di intervenire con una correzione definitiva presente nel Patch Tuesday di novembre 2022.
