Patch day Microsoft di aprile 2023: una vulnerabilità già utilizzata per attacchi ransomware

Vediamo quali sono gli aggiornamenti di sicurezza più importanti che Microsoft ha rilasciato durante il "patch day" di aprile 2023. Un problema di sicurezza nel componente di sistema Common Log File System è già stato utilizzato per installare il ransomware Nokoyawa ed alcune sue varianti.
Michele Nasi
Pubblicato il 12 apr 2023
Patch day Microsoft di aprile 2023: una vulnerabilità già utilizzata per attacchi ransomware

Come accade tutti i mesi, ogni secondo martedì, Microsoft ha pubblicato una serie di aggiornamenti di sicurezza per Windows e per tutti gli altri software supportati. Le vulnerabilità risolte ad aprile 2023 sono complessivamente 114, 7 sono indicate come critiche mentre una risulta già sfruttata dai criminali informatici per installare malware sui sistemi Windows delle vittime.

La falla di sicurezza zero-day sfruttata da un gruppo di criminali informatici per eseguire il ransomware Nokoyawa è stata finalmente risolta da Microsoft con il rilascio di una patch per la vulnerabilità CVE-2023-28252.
Il problema di sicurezza è stato scoperto nel Common Log File System, un componente di sistema che gestisce i log in tempo reale, riguarda tutte le versioni server e client di Windows e può essere sfruttato, in assenza della patch correttiva appena rilasciata da Microsoft, per acquisire i privilegi SYSTEM su qualunque macchina e assumere così il totale controllo della stessa.

Microsoft conferma che un attacco informatico facente leva sulla falla CVE-2023-28252 è a bassa complessità, non richiede alcuna interazione da parte della vittima ed è per questo motivo estremamente pericoloso.

Il bug in questione era stato scoperto e segnalato da Kaspersky a febbraio 2023 ma solamente adesso diventa disponibile una correzione ufficiale.

Per quanto riguarda gli altri aggiornamenti del mese, particolarmente importante appare la patch per la falla CVE-2023-21554. In questo caso il rischio consiste nell’esecuzione di codice in modalità remota (attacco RCE, Remote Code Execution) allorquando la macchina vulnerabile eseguisse il servizio Microsoft Message Queuing (MSMQ).
Per verificare se il servizio fosse in esecuzione, basta aprire il prompt dei comandi di Windows e verificare se sulla porta 1801 fosse in ascolto il componente server di MSMQ:

netstat -an | findstr :1801

Una terza vulnerabilità critica riguarda il server DHCP di Windows (CVE-2023-28231): un utente autenticato potrebbe sfruttare questo bug di sicurezza per inviare una chiamata RPC appositamente predisposta al servizio DHCP ed eseguire codice arbitrario sulla macchina.

L’elenco di tutte le lacune di sicurezza risolte ad aprile 2023 è disponibile, al solito, su ISC-SANS mentre il blog di Cisco Talos offre maggiori spunti sulle vulnerabilità che destano maggiore interesse.

Ti consigliamo anche

Router sotto assedio: attacco malware per rubare password agli utenti
Vulnerabilità

Router sotto assedio: attacco malware per rubare password agli utenti
VPN in viaggio: risparmia su voli e hotel con questi trucchi
Offerte

VPN in viaggio: risparmia su voli e hotel con questi trucchi
Risparmia sui voli con NordVPN: scopri come
Offerte

Risparmia sui voli con NordVPN: scopri come
Il segreto per risparmiare nelle prossime vacanze estive: Cyberghost VPN
Offerte

Il segreto per risparmiare nelle prossime vacanze estive: Cyberghost VPN
Link copiato negli appunti