CVE-2024-38124 e CVE-2024-43468: amministratori alle prese con due gravi vulnerabilità Windows Server

In occasione del Patch Tuesday di ottobre 2024, Microsoft ha rilasciato – tra gli altri – due aggiornamenti di sicurezza critici per Windows Server. La vulnerabilità classificata con l’identificativo CVE-2024-38124 si riferisce alla possibilità, da parte di un aggressore, di inviare messaggi Netlogon appositamente creati a un controller di dominio, impersonando così qualsiasi macchina sulla rete, compreso il controller di dominio stesso.

Il problema di sicurezza sta acquisendo un profilo importante in questi giorni per via della pubblicazione del codice exploit e delle segnalazioni di alcuni attacchi rivolte a un nutrito gruppo di imprese. Lo sfruttamento della falla CVE-2024-38124, di cui Microsoft parla in questo bollettino, riguarda tutte le versioni di Windows Server. A dimostrazione di quanto sia grave la problematica in questione, i tecnici di Microsoft hanno rilasciato le patch correttive anche per Windows Server 2008 e Windows Server 2008 R2, sistemi operativi non più supportati da tempo.

Esempio di attacco sui sistemi vulnerabili alla falla di sicurezza CVE-2024-38124

Lo schema di attacco non è complesso: l’aggressore può guadagnare l’accesso alla rete aziendale della vittima utilizzando tecniche phishing, ingegneria sociale o altre vulnerabilità esistenti.

Usando strumenti come rpcclient o script personalizzati, l’attaccante può creare richieste Netlogon per colpire il controller di dominio. Una volta superata l’autenticazione, facendo leva sulla lacuna di sicurezza, l’attaccante può creare nuovi account con privilegi amministrativi e accedere a dati riservati.

L’installazione della correzione Microsoft per la falla CVE-2024-38124 assume quindi un’importanza cruciale, in particolare per tutte quelle attività che fanno leva su Active Directory.

Netlogon è un servizio di Windows che consente l’autenticazione delle richieste da parte di client e server nel contesto di un dominio Active Directory. Questo servizio gestisce diverse funzioni relative all’autenticazione, alla registrazione e alla gestione delle sessioni di rete.

CVE-2024-43468 prende di mira Microsoft Configuration Manager

Microsoft sta accantonando WSUS (Windows Server Update Services) per spronare gli amministratori IT a migrare verso i suoi servizi cloud. Le alternative, comunque, ci sono: Microsoft System Center Configuration Manager (SCCM) è una di esse.

SCCM, parte della suite Microsoft Endpoint Manager, è una soluzione che permette di gestire configurazioni e aggiornamenti nei grandi ambienti aziendali. Gli amministratori possono servirsi di SCCM per sovrintendere la distribuzione degli aggiornamenti, la conformità e l’inventario delle applicazioni e dei sistemi.

A inizio ottobre 2024, tuttavia, Microsoft ha risolto una seconda vulnerabilità particolarmente grave contraddistinta dall’identificativo CVE-2024-43468.

Come spiegato nel bollettino di riferimento, CVE-2024-43468 permette a un attaccante di eseguire codice arbitrario sui sistemi gestiti da SCCM. Sfruttando questa vulnerabilità, un attaccante potrebbe distribuire payload malevoli su tutta la rete, compromettendo molti endpoint e aprendo la strada a ulteriori violazioni di dati, compromissioni di sistema e distribuzioni di ransomware.

La falla CVE-2024-43468, combinata con CVE-2024-38124, rappresentano due “bestie nere” per gli amministratori di sistema. Per questo motivo, vista la disponibili di codici exploit funzionanti, è a questo punto sconsigliabile rimandare ulteriore l’applicazione delle patch ufficiali.