L’ultimo round di aggiornamenti di sicurezza mensili di Microsoft è stato rilasciato con correzioni per 68 vulnerabilità che coprono il suo portafoglio software, comprese le patch per sei zero-day sfruttati attivamente.
12 dei problemi sono classificati come critici, due sono classificati come alti e 55 sono classificati come importanti in termini di gravità. Ciò include anche le debolezze che sono state chiuse da OpenSSL la settimana precedente.
All’inizio del mese è stato anche affrontato separatamente un difetto attivamente sfruttato nei browser basati su Chromium (CVE-2022-3723) che è stato collegato da Google come parte di un aggiornamento fuori banda alla fine del mese scorso.
“La grande notizia è che due vecchi CVE zero-day che interessano Exchange Server, resi pubblici alla fine di settembre, sono stati finalmente risolti”, ha dichiarato Greg Wiseman, product manager di Rapid, in una dichiarazione condivisa con The Hacker News.
“Si consiglia ai clienti di aggiornare immediatamente i propri sistemi Exchange Server, indipendentemente dal fatto che siano state applicate misure di mitigazione precedentemente raccomandate. Le regole di mitigazione non sono più consigliate una volta che i sistemi sono stati patchati.
L’elenco delle vulnerabilità sfruttate attivamente, che consentono l’elevazione dei privilegi e l’esecuzione di codice in modalità remota, è il seguente:
- CVE-2022-41040(punteggio CVSS: 8,8) – Vulnerabilità legata all’acquisizione di privilegi più elevati in Microsoft Exchange Server (noto anche come ProxyNotShell)
- CVE-2022-41082(punteggio CVSS: 8,8) – Vulnerabilità legata all’acquisizione di privilegi più elevati in Microsoft Exchange Server (noto anche come ProxyNotShell)
- CVE-2022-41128(punteggio CVSS: 8,8) – Vulnerabilità legata all’esecuzione di codice in modalità remota nei linguaggi di scripting di Windows
- CVE-2022-41125(punteggio CVSS: 7,8) – Vulnerabilità legata all’acquisizione di privilegi più elevati nel servizio di isolamento delle chiavi CNG di Windows
- CVE-2022-41073(punteggio CVSS: 7,8) – Vulnerabilità legata all’acquisizione di privilegi più elevati nello spooler di stampa di Windows
- CVE-2022-41091(punteggio CVSS: 5,4) – Vulnerabilità legata all’elusione della funzionalità di protezione Web nel contrassegno di Windows
CVE-2022-41091 è uno dei due difetti di bypass di sicurezza in Windows Mark of the Web (MoTW) che sono venuti alla luce negli ultimi mesi. Recentemente è stato scoperto come armato dall’attore ransomware Magniber per colpire gli utenti con aggiornamenti software falsi.
“Un utente malintenzionato può creare un file dannoso che eluderebbe le difese Mark of the Web (MotW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come Protected View in Microsoft Office, che si basano sul tagging MotW”, ha detto Microsoft in un advisory.
Il secondo difetto MotW da risolvere è CVE-2022-41049 riportato dal ricercatore di sicurezza di Analygence Will Dormann, si riferisce a un errore nell’impostare il flag Mark of the Web sui file di archivio estratti.
I due difetti di escalation dei privilegi in Print Spooler e CNG Key Isolation Service rischiano di essere abusati dagli attori delle minacce come follow-up di un compromesso iniziale e ottenere i privilegi di SYSTEM, ha affermato Kev Breen, direttore della ricerca sulle minacce informatiche presso Immersive Labs.
“Questo livello di accesso più elevato è necessario per disabilitare o manomettere gli strumenti di monitoraggio della sicurezza prima di eseguire attacchi alle credenziali con strumenti come Mimikatz che possono consentire agli aggressori di spostarsi lateralmente attraverso una rete”.
Altre quattro vulnerabilità di livello critico nella patch di novembre che vale la pena sottolineare sono i difetti dell’elevazione dei privilegi in Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) e Microsoft Exchange Server (CVE-2022-41080) e un difetto di negazione del servizio che interessa Windows Hyper-V (CVE-2022-38015).
L’elenco delle correzioni per i difetti critici è caratterizzato da quattro vulnerabilità legate all’esecuzione di codice in modalità remota nel protocollo PPTP (Point-to-Point Tunneling Protocol), tutte con punteggi CVSS di 8,1 (CVE-2022-41039, CVE-2022-41088 e CVE-2022-41044) e un altro che influisce sui linguaggi di scripting di Windows JScript9 e Chakra (CVE-2022-41118).
Oltre a questi problemi, l’aggiornamento del Patch Tuesday risolve anche una serie di difetti di esecuzione di codice in modalità remota in Microsoft Excel, Word, driver ODBC, Office Graphics, SharePoint Server e Visual Studio, nonché una serie di bug di escalation dei privilegi in Win32k, Overlay Filter e Criteri di gruppo.