Puntuale, ogni secondo martedì del mese (quando in Italia è già mercoledì), Microsoft ha rilasciato il Patch Tuesday di settembre 2024: il pacchetto cumulativo di aggiornamenti corregge 79 vulnerabilità nei suoi sistemi operativi Windows e in altri software.
Di queste, quattro risultano essere attivamente sfruttate e una di queste zero-day è stata divulgata pubblicamente.
Ricordiamo, a tal proposito, che Microsoft classifica una vulnerabilità zero-day come una falla di sicurezza divulgata pubblicamente o attivamente sfruttata senza che sia stata ancora rilasciata una correzione ufficiale.
Delle 79 vulnerabilità corrette, 7 sono classificate come critiche, 71 come importanti e una con un indice di gravità moderato.
Tutte le vulnerabilità sono così classificate:
- 30 sono di tipo EoP (Elevation of Privilege);
- 4 consentono il bypass delle funzioni di sicurezza;
- 23 sono di tipo RCE (Remote Code Execution);
- 11 di tipo ID (Information Disclosure);
- 8 di tipo Denial of Service;
- 3 di tipo spoofing.
I dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Aggiornamenti Microsoft settembre 2020: le zero-day
Come dicevamo, il Patch Tuesday del mese di settembre 2024 corregge quattro exploit attivi, uno dei quali è stato divulgato pubblicamente.
La vulnerabilità zero-day in Windows Installer
CVE-2024-38014: vulnerabilità di elevazione dei privilegi identificata in Windows Installer. Se sfruttata, potrebbe consentire agli attaccanti di ottenere i privilegi a livello SYSTEM sui sistemi Windows.
Il problema di sicurezza è stato scoperto dal ricercatore Michael Baer del SEC Consult Vulnerability Lab e, al momento, Microsoft non ha condiviso alcun dettaglio su come sia stata sfruttata negli attacchi in rete.
Vulnerabilità zero-day in Microsoft Publisher
CVE-2024-38226: vulnerabilità di bypass della funzionalità di sicurezza di Microsoft Publisher. Se sfruttata, consente di aggirare le protezioni di sicurezza contro le macro incorporate nei documenti scaricati dal web.
“Un aggressore che sfruttasse questa vulnerabilità potrebbe aggirare i criteri di macro di Office utilizzati per bloccare i file non attendibili o dannosi”, si legge nel relativo bollettino di sicurezza pubblicato dalla stessa Microsoft, che non ha reso noto chi ha divulgato la falla e come sia stata sfruttata.
Vulnerabilità zero-day in Microsoft Windows Update
CVE-2024-43491: si tratta di una vulnerabilità identificata in Microsoft Windows Update che consente l’esecuzione di codice remoto.
Come riportato nel bollettino di sicurezza, “Microsoft è a conoscenza di una vulnerabilità in Servicing Stack che ha causato un rolled back per le correzioni ad alcune vulnerabilità che interessano gli Optional Components di Windows 10 in versione 1507 (rilasciata a luglio 2015). Ciò significa che un utente malintenzionato potrebbe sfruttare queste vulnerabilità precedentemente mitigate sui sistemi Windows 10, versione 1507 (Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB) che hanno installato l’aggiornamento di sicurezza di Windows rilasciato il 12 marzo 2024-KB5035858 (OS Build 10240.20526) o altri aggiornamenti rilasciati fino ad agosto 2024.
Tutte le versioni successive di Windows 10 non sono interessate da questa vulnerabilità”. È bene ribadire che questa vulnerabilità riguarda solo Windows 10 in versione 1507, che ha raggiunto la fine del ciclo di vita nel 2017.
Tuttavia, ha un impatto anche sulle edizioni Windows 10 Enterprise 2015 LTSB e Windows 10 IoT Enterprise 2015 LTSB, che sono ancora in fase di supporto. Anche in questo caso, Microsoft non ha reso noto chi ha divulgato la falla e come sia stata sfruttata.
La vulnerabilità zero-day divulgata pubblicamente
CVE-2024-38217: è l’unica delle quattro vulnerabilità zero-day corrette con il Patch Tuesday di settembre 2024 ad essere stata divulgata pubblicamente lo scorso 6 agosto 2024 da Joe Desimone di Elastic Security.
La falla di sicurezza consente il bypass della funzionale di sicurezza di Windows Mark of the Web (MOTW) e si ritiene sia stata sfruttata attivamente dal 2018 mediante la tecnica denominata LNK stomping.
Può, quindi, essere sfruttata mediante l’utilizzo di file LNK appositamente creati dagli attori della minaccia con percorsi di destinazione o strutture interne non standard, causando l’apertura del file e aggirando lo Smart App Control e gli avvisi di sicurezza Mark of the Web.
Installiamo gli aggiornamenti Microsoft
L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
