Patch day Microsoft di marzo 2023: quali sono gli aggiornamenti più critici

Si preannuncia piuttosto delicata la gestione delle patch di sicurezza che Microsoft ha rilasciato a marzo 2023 in occasione della giornata scelta per il rilascio degli aggiornamenti qualitativi destinati ai suoi prodotti software (secondo martedì del mese).

L’azienda di Redmond ha infatti rilasciato le correzioni ufficiali per 76 vulnerabilità di sicurezza: 9 di esse sono indicate come a elevata criticità e 2 sono già utilizzate da parte di gruppi di malintenzionati per sferrare attacchi informatici.

Una delle vulnerabilità già sfruttate è riguarda Microsoft Outlook (CVE-2023-23397) ed è attivamente utilizzata dai criminali informatici per acquisire privilegi elevati sul sistema della vittima.
Un un utente malintenzionato può accedere all’hash Net-NTLMv2 e sferrare un’aggressione NTLM Relay contro un altro servizio al fine di autenticarsi con i privilegi di un altro soggetto.
L’aggressore può far leva sulla vulnerabilità inviando un’email appositamente predisposta che si attiva automaticamente quando viene recuperata dal server di posta ed elaborata dal client Outlook. In questo modo, in assenza della patch correttiva, il codice dannoso può essere eseguito prima ancora che il contenuto dell’email venga mostrato nel riquadro di anteprima.

La seconda vulnerabilità per la quale si conosce già l’esistenza di codice exploit funzionante consiste in un problema di sicurezza che permette di scavalcare SmartScreen (CVE-2023-24880).
In questo caso il malintenzionato può creare un file dannoso che elude il meccanismo noto come Mark of the Web (MoTW) “dribblando” la protezione esercitata dalla modalità Visualizzazione protetta di Office.

Tra le vulnerabilità più rilevanti che i tecnici di Microsoft hanno risolto, desta molta preoccupazione quella con l’identificativo CVE-2023-23392: riguarda un problema che affligge il server Web di Windows Server 2022 (anche Windows 11, in realtà, ma IIS non è ovviamente installato di default su questo sistema operativo…).
Se il server utilizza il protocollo HTTP/3 e la gestione dei pacchetti di questo tipo risulta abilitata, un aggressore può eseguire codice in modalità remota sulla macchina vulnerabile (attacco RCE, Remote Code Execution).
Questa vulnerabilità non richiede alcuna interazione da parte dell’utente, nessun privilegio, si attiva attraverso la rete e la complessità dell’attacco è bassa.

Ancora più ampio l’impatto della falla CVE-2023-23415: in questo caso un aggressore può inviare a distanza una richiesta ICMP alla macchina vulnerabile (sono interessate tutte le versioni di Windows) e sfruttare l’erronea gestione dei pacchetti per eseguire codice dannoso.

A parziale attenuazione della gravità della falla, comunque valutata estremamente critica, Microsoft puntualizza che sono esposte a rischi solo le macchine ove sia installata un’applicazione legata a un raw socket.
Il raw socket che consente all’applicazione di inviare e ricevere pacchetti direttamente sulla rete senza la necessità di passare attraverso i protocolli del sistema operativo. Si tratta di un socket che consente all’applicazione di accedere ai pacchetti di rete in formato grezzo, senza alcuna elaborazione da parte del sistema operativo.
Ovviamente se le richieste ICMP sono bloccate lato firewall, anche un sistema vulnerabile non sarebbe esposto a rischio di attacco.

Particolarmente rilevante è anche la vulnerabilità CVE-2023-21708 che può portare all’esecuzione di codice in modalità remota sulla base di una grave lacuna a livello di Remote Call Procedure (RCP).
Per sfruttare questa vulnerabilità, un utente malintenzionato non autenticato potrebbe inviare al sistema Windows una chiamata RPC appositamente predisposta ma dovrebbe avere accesso diretto alla porta TCP 135 sull’host vulnerabile.
Per questo motivo Microsoft considera questa vulnerabilità a sfruttamento remoto “meno probabile” con particolare riferimento, evidentemente, al perimetro di rete esterno.
Un aggressore che fosse già riuscito a penetrare nella rete, tuttavia, può far leva su questa vulnerabilità per compromettere altre macchine e lanciarsi in movimenti laterali particolarmente efficaci.

ISC-SANS ha come al solito stilato la lista degli aggiornamenti di sicurezza del mese mentre il Cisco Talos si concentra sulle patch più importanti.