Giornate di aggiornamenti per gli amministratori di sistema: come ogni mese, infatti, Microsoft ha avviato il rilascio del Patch Tuesday per il mese di marzo 2023 che corregge 80 vulnerabilità che interessano il sistema operativo e le sue applicazioni.
Tra queste, anche due vulnerabilità zero-day già attivamente sfruttate dagli attori della minaccia. Ricordiamo che Microsoft classifica una vulnerabilità come zero-day se è pubblicamente divulgata o attivamente sfruttata senza che sia disponibile una correzione ufficiale.
Una di queste due vulnerabilità, la CVE-2023-23397, è stata identificata in Microsoft Outlook per Windows e potrebbe consentire a un attore delle minacce di rubare da remoto gli hash delle password semplicemente inviando un’e-mail malevola appositamente creata. In particolare, la pericolosa zero-day sarebbe stata già sfruttata dal gruppo criminale filo russo Cozy Bear.
Delle 80 vulnerabilità, 8 sono classificate come critiche, 71 hanno invece un indice di gravità importante e solo una è stata classificata con gravità moderata.
Nel dettaglio, le vulnerabilità sono così suddivise:
- 21 sono di tipo EoP (Elevation of Privilege);
- 2 consentono il bypass delle funzioni di sicurezza;
- 27 sono di tipo RCE (Remote Code Execution);
- 15 di tipo ID (Information Disclosure);
- 4 di tipo Denial of Service;
- 10 di tipo spoofing,
- 1 riguarda, infine, Edge – Chromium.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (76,12/100).
Tutti i dettagli sul Patch Tuesday di marzo 2023 sono disponibili sulla pagina ufficiale Microsoft.
Indice degli argomenti
Patch Tuesday marzo 2023: i dettagli delle due zero-day
Come dicevamo, il Patch Tuesday di questo mese risolve due vulnerabilità zero-day attivamente sfruttate in attacchi.
Vulnerabilità critica in Microsoft Outlook
La prima è stata tracciata come CVE-2023-23397 ed è una vulnerabilità di tipo Elevation of Privilege (elevazione dei privilegi) in Microsoft Outlook per la quale un ricercatore di sicurezza informatica ha pubblicato in rete un exploit PoC.
Se sfruttata, può consentire a un attaccante di usare un’e-mail appositamente creata per forzare i dispositivi delle vittime a connettersi a una URL remota a cui viene successivamente trasmesso l’hash Net-NTLMv2 dell’account Windows compromesso.
In particolare, i messaggi malevoli di posta elettronica attivano una connessione verso un percorso UNC (Uniform Naming Connection) a una risorsa condivisa SMB su porta TCP 445 controllata dall’attaccante, che può quindi usare l’hash Net-NTLMv2 trafugato alla vittima per autenticarsi al suo posto su altri servizi.
La gravità di questa vulnerabilità, come segnalato dalla stessa Microsoft nel relativo bollettino di sicurezza, risiede nel fatto che si innesca automaticamente prima che la mail venga letta nel riquadro di anteprima del client di posta Outlook, nel momento in cui viene recuperata ed elaborata dal server di posta elettronica.
Come dicevamo, secondo alcune indiscrezioni al momento non confermate, la vulnerabilità sarebbe stata sfruttata in attacchi mirati dal gruppo criminale state-sponsored russo Cozy Bear (conosciuto anche come APT28 , STRONTIUM , Sednit, Sofacy), che così sarebbero riusciti a rubare account specifici di posta elettronica.
Vulnerabilità critica in Windows Smartscreen
La seconda vulnerabilità critica corretta con il Patch Tuesday di marzo 2023 è stata tracciata come CVE-2023-24880 e identificata nel componente Windows SmartScreen, uno strumento cloud-based per la protezione dei sistemi Windows che consente di bloccare applicazioni, file e siti potenzialmente dannosi.
Se sfruttata, potrebbe consentire il bypass delle funzioni di sicurezza usando file eseguibili appositamente creati che consentono di eludere le difese del Mark of the Web (MOTW), con conseguente perdita limitata dell’integrità e della disponibilità di funzioni di sicurezza di Windows e delle sue applicazioni, compresa ad esempio la suite Office.
Il flag Mark of the Web, lo ricordiamo, consente di segnalare se un file è stato scaricato dalla rete Internet o comunque proviene da dispositivi remoti e quindi potenzialmente non attendibili.
La vulnerabilità è stata scoperta dal Threat Analysis Group di Google, che l’ha individuata mentre veniva sfruttata dal ransomware Magniber. I ricercatori del TAG di Google, inoltre, hanno verificato che la nuova CVE-2023-24880 consente di bypassare la patch per una precedente zero-day CVE-2022-44698 sfruttata anch’essa da gruppo criminale Magniber e già corretta da Microsoft in occasione del Patch Tuesday di dicembre 2022.
Lo stesso Threat Analysis Group di Google ha segnalato di aver osservato oltre 100.000 download di file MSI dannosi firmati con la firma Authenticode malformata a partire da gennaio 2023, consentendo così agli attori della minaccia di distribuire il ransomware Magniber senza che venisse attivato alcun avviso di sicurezza. E, a quanto pare, la maggior parte di questi download è stata associata a utenti europei.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità critiche corrette dal Patch Tuesday di marzo 2023 è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti: quindi, non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft di marzo 2023, in Windows 10 è sufficiente cliccare sul pulsante Start, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire il backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.