Sono stati rilasciati gli aggiornamenti del Patch Tuesday per il mese di ottobre 2023 con cui Microsoft ha corretto 104 vulnerabilità in diversi prodotti, tra cui Windows 10, Windows 11, Windows Server, Microsoft Office e Skype.
Tra le patch disponibili anche quelle per tre vulnerabilità zero-day (tracciate come CVE-2023-41763, CVE-2023-36563 e CVE-2023-44487) che risultano essere già sfruttate attivamente in rete.
Le vulnerabilità sono così classificate:
- 26 di tipo EoP (Elevation of Privilege);
- 3 consentono il bypass delle funzioni di sicurezza;
- 45 sono di tipo RCE (Remote Code Execution);
- 12 di tipo ID (Information Disclosure);
- 17 di tipo Denial of Service;
- 1 di tipo spoofing.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (75/100).
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Aggiornamenti Microsoft: dettagli delle vulnerabilità zero-day
Come dicevamo, nel Patch Tuesday del mese di ottobre 2023 sono presenti anche le patch per tre vulnerabilità zero-day attivamente sfruttate: due riguardano le applicazioni Skype (CVE-2023-41763) e WordPad (CVE-2023-36563), un’altra può consentire di sferrare un attacco HTTP/2 Rapid Reset (CVE-2023-44487).
Allerta per attacchi HTTP/2 Rapid Reset
Nel dettaglio, la vulnerabilità zero-day più grave corretta in occasione del Patch Tuesday di ottobre 2023 è la CVE-2023-44487.
L’aggiornamento consente di mitigare una nuova tecnica di attacco DDoS zero-day chiamata HTTP/2 Rapid Reset che è stata attivamente sfruttata già nel mese di agosto.
In particolare, questo attacco sfrutta la funzione di cancellazione del flusso di HTTP/2 per inviare e cancellare continuamente richieste di connessione sovraccaricando il server/applicazione bersaglio e imponendo di fatto uno stato DoS (Denial of Service).
Questa particolare funzione è integrata nello standard HTTP/2 e dunque non esiste una “correzione” per che possa in qualche modo essere implementata come misura di contrasto agli attacchi HTTP/2 Rapid Reset. L’unica soluzione di mitigazione consiste nel limitare la velocità o nel blocco del protocollo.
Si consiglia, dunque, di implementare le best practice di sicurezza pubblicate da Microsoft sulla pagina specifica.
Da segnalare che la vulnerabilità è stata resa nota in una divulgazione coordinata da Cloudflare, Amazon e Google.
La vulnerabilità zero-day in Skype
La CVE-2023-41763 che interessa Skype consente un’escalation dei privilegi. Un attore della minaccia può sfruttarla effettuando una chiamata di rete appositamente creata al server Skype for Business di destinazione. Ciò porta all’analisi di una richiesta HTTP effettuata a un indirizzo arbitrario con conseguente divulgazione di indirizzi IP o numeri di porta o entrambi all’attaccante.
Come si legge nel relativo bollettino di sicurezza pubblicato da Microsoft, “l’attaccante non può modificare le informazioni divulgate (integrità) o limitare l’accesso alla risorsa (disponibilità)”.
La vulnerabilità è stata classificata con un indice di gravità CVSS di 5.3 su 10 (quindi, con un indice di gravità medio).
La vulnerabilità zero-day in WordPad
L’ultima vulnerabilità zero-day corretta in occasione del Patch Tuesday del mese di ottobre 2023, di tipo Information Disclosure (ID), è stata tracciata come CVE-2023-36563 e identificata in WordPad.
Qualora venisse sfruttata, potrebbe consentire a un attore malevolo di divulgare gli hash NTLM quando si apre un documento appositamente creato.
L’NTLM (NT LAN Manager), lo ricordiamo, è una suite di protocolli di sicurezza Microsoft che forniscono autenticazione, integrità e confidenzialità agli utenti.
L’attaccante potrebbe quindi eseguire un’applicazione appositamente realizzata e sfruttare questa vulnerabilità per prendere il controllo del sistema interessato.
In particolare, un utente malintenzionato potrebbe convincere la vittima a cliccare su un link contenuto in una e-mail o in un messaggio di chat e, successivamente, ad aprire il file dannoso appositamente creato.
Da segnalare, però, che lo sfruttamento della vulnerabilità richiede che l’attore della minaccia abbia precedentemente ottenuto l’accesso al sistema target. Anche per questo motivo, la CVE-2023-36563 è stata classificata con un punteggio CVSS di 6.5 su 10 (quindi, con un indice di gravità medio).
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità corrette dal Patch Tuesday di questo mese è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
