Microsoft ha rilasciato il Patch Tuesday di giugno 2023 contenente gli aggiornamenti software per correggere 78 vulnerabilità di sicurezza nei suoi sistemi operativi Windows e in altri software.
La buona notizia per gli amministratori di sistema è che questo nuovo Patch Tuesday è il primo, dallo scorso mese di marzo 2022, a non affrontare alcuna vulnerabilità zero-day che risulti essere attivamente sfruttata in rete.
Delle 78 falle di sicurezza, quattro sono classificate come critiche in quanto consentono l’esecuzione di codice remoto. Complessivamente, sono 38 le vulnerabilità di tipo RCE, uno dei tipi più gravi di vulnerabilità perché potrebbe potenzialmente consentire di prendere il pieno controllo del sistema target.
Tutte le vulnerabilità sono così classificate:
- 14 sono di tipo EoP (Elevation of Privilege);
- 2 consentono il bypass delle funzioni di sicurezza;
- 38 sono di tipo RCE (Remote Code Execution);
- 4 di tipo ID (Information Disclosure);
- 10 di tipo Denial of Service;
- 10 di tipo spoofing.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
I dettagli delle vulnerabilità critiche
Come dicevamo, sono quattro le vulnerabilità classificate come critiche e corrette da Microsoft in occasione del rilascio del Patch Tuesday di giugno 2023.
La più grave è stata tracciata come CVE-2023-29357 e classificata con un punteggio CVSS di 9.8 su 10.
Identificata nel componente Microsoft SharePoint Server, la vulnerabilità è di tipo Elevation of Privilege (EoP) e potrebbe essere utilizzata da un utente malintenzionato per aggirare i meccanismi di autenticazione, riuscendo così a ottenere privilegi elevati sui sistemi target mediante lo sfruttamento di token di autenticazione JWT opportunamente modificati.
Ricordiamo che i JSON Web Token (JWT) rappresentano uno standard aperto secondo la specifica RFC 7519 che consente lo scambio sicuro di dati tra due server tramite un sistema di cifratura e contatto.
Come si legge nel relativo bollettino di sicurezza pubblicato da Microsoft, “un utente malintenzionato che abbia ottenuto l’accesso a token di autenticazione JWT spoofati può utilizzarli per eseguire un attacco di rete che aggiri l’autenticazione e consenta di accedere ai privilegi di un utente autenticato”.
Ciò significa che, in un ipotetico tentativo di violazione di un sistema, un attaccante non ha bisogno né di privilegi né è richiesta alcuna azione da parte dell’utente.
Le altre vulnerabilità critiche corrette col Patch Tuesday di giugno 2023
Le altre tre vulnerabilità critiche degne di nota corrette con il Patch Tuesday di giugno 2023 sono le CVE-2023-29363, CVE-2023-32014 e CVE-2023-32015.
Tutte di tipo RCE (Remote Code Execution) e con un punteggio CVSS anche in questo caso di 9.8 su 10, interessano il Windows Pragmatic General Multicast, un protocollo di comunicazione multicast affidabile e scalabile che consente di rilevare la perdita di dati, richiederne eventualmente la ritrasmissione o notificare a un’applicazione una perdita irrecuperabile.
In particolare, le tre vulnerabilità interessano il servizio Windows Message Queuing del protocollo PGM e, qualora venissero sfruttate, potrebbero consentire a un attaccante di eseguire codice arbitrario sui dispositivi esposti.
La criticità di queste falle di sicurezza sta nel fatto che un loro exploit è possibile, qualora il servizio Windows Message Queuing fosse attivo sulla macchina target, semplicemente tramite l’invio di file opportunamente predisposti.
I dettagli di una vulnerabilità in Microsoft Exchange Server
Un’altra vulnerabilità degna di nota, corretta con il Patch Tuesday di giugno 2023, è la CVE-2023-32031, identificata in Microsoft Exchange Server e, ancora una volta, di tipo RCE (Remote Code Execution).
Secondo quanto riferito da Microsoft nel relativo security advisory, lo sfruttamento di questa vulnerabilità potrebbe consentire a un attaccante di “colpire gli account del server e consentire l’esecuzione di codice arbitrario o remoto. Come utente autenticato, l’aggressore potrebbe tentare di attivare codice dannoso nel contesto dell’account del server attraverso una chiamata di rete”.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di giugno 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di giugno 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
