Patch Microsoft di settembre 2024: le vulnerabilità da correggere subito

Il Patch Tuesday di settembre 2024 ha introdotto importanti aggiornamenti, risolvendo 79 vulnerabilità. Tra le più critiche ci sono CVE-2024-43491, che permette attacchi di downgrade tramite Windows Update, e vulnerabilità zero-day in Windows Installer e Publisher. Corretto un pericoloso bug nel sistema di protezione MoW, già sfruttato dai criminali informatici.

Nel corso del Patch Tuesday di settembre 2024, Microsoft ha distribuito una serie di aggiornamenti che permettono di risolvere un totale di 79 vulnerabilità. In questo nostro articolo ci prefiggiamo, come facciamo ogni mese, di segnalare quali sono i problemi di sicurezza più critici, quelli che possono richiedere un’installazione tempestiva delle patch correttive.

Iniziamo dalla falla di sicurezza che l’azienda di Redmond indica come più grave di tutte, con riferimento al Patch Tuesday di questo mese: CVE-2024-43491. La società guidata da Satya Nadella è piuttosto avara di dettagli tecnici ma si limita a rivelare che il problema riguarda Windows Update e che, se sfruttato, potrebbe favorire un attacco di tipo “downgrade“. In altre parole, un aggressore potrebbe essere in grado di annullare gli effetti benefici delle patch già applicate sul sistema.

Se è qualcosa che vi suona familiare è perché il ricercatore Alon Leviev ha recentemente spiegato che sfruttando alcune vulnerabilità insite in Windows, i sistemi già aggiornati diventano vulnerabili. Il fatto è che la correzione rilasciata da Microsoft non riguarda assolutamente l’attacco downgrade scoperto e segnalato da Leviev: le falle CVE-2024-38202 e CVE-2024-21302 restano infatti pericolosamente sfruttabili. Oltretutto a fine agosto 2024 è spuntato anche un tool automatico per fare il downgrade delle patch applicate tramite Windows Update e annullare tutti i loro effetti correttivi.

Microsoft sembra essersi limitata a sistemare un problema similare scoperto nel vecchio Windows 10 versione 1507, la primissima release di Windows 10 distribuita a partire da luglio 2015. I tecnici di Redmond sostengono che il problema non esiste nelle successive versioni del sistema operativo.

Vulnerabilità zero-day in Windows Installer e Publisher

Tra le lacune di sicurezza più rilevanti, risolte questo mese da Microsoft, ci sono quelle contraddistinte dagli identificativi CVE-2014-38014 e CVE-2024-38226.

Nel primo caso, un aggressore può acquisire i privilegi SYSTEM a partire da una normale routine d’installazione Windows Installer, avviata con diritti limitati. Nel secondo, un aggressore può sfruttare un documento Publisher per bypassare completamente le policy sulle macro di Office, di norma utilizzate per bloccare file non affidabili, sospetti o malevoli.

Fortunatamente, il problema non è attivabile dagli attaccanti facendo leva sul riquadro di anteprima di Esplora file ma è comunque richiesta l’apertura del file Publisher con Office 2021, Office 2019 o Publisher 2016.

Un altro pericoloso bug che permette di scavalcare la protezione MoW (Mark-of-the-Web)

Ancora una volta, Microsoft è costretta a intervenire per risolvere un grave problema di sicurezza che riguarda la gestione del cosiddetto MoW (Mark-of-the-Web) in Windows.

MoW è una funzionalità di sicurezza Windows che contrassegna i file scaricati da Internet con un identificatore specifico per indicare la loro provenienza da una fonte esterna. Il contrassegno è aggiunto ai file scaricati tramite browser o altri strumenti e avvisa Windows e le applicazioni che il file potrebbe rappresentare un rischio per la sicurezza.

La presenza del “marcatore” fa scattare misure di protezione aggiuntive, come l’attivazione della Visualizzazione protetta nel caso della suite Office o Microsoft 365. Tante volte, però, Microsoft è scivolata sul MoW.

La falla CVE-2024-38217, risolta questo mese, è già sfruttata da gruppi di criminali informatici per evadere le verifiche relative al MoW e far ritenere a Windows (oltre che a tutte le applicazioni installate) che il file sia benigno a priori, perché proveniente da un contesto locale.

Conclusioni

Tra le patch più importanti di settembre 2024, meritano una menzione speciale anche le 4 falle risolte in SharePoint Server: CVE-2024-38018, CVE-2024-38227, CVE-2024-38228 e CVE-2024-43464. Se sfruttate, possono portare all’esecuzione di codice arbitrario, anche in modalità remota.

C’è anche la falla CVE-2024-38119, che sfrutta una vulnerabilità critica nel servizio Windows NAT per disporre il caricamento di codice dannoso. Microsoft la giudica poco rilevante soltanto perché Windows NAT è disattivato per impostazione predefinita. I compiti in materia di Network Address Translation (NAT) sono infatti tipicamente demandati al router.

La funzionalità NAT è infatti implementata nei router e nei firewall ma vale la pena sapere che anche Windows può gestirla: e lo fa quando l’utente ad esempio abilita caratteristiche come Routing e Accesso Remoto (RRAS) o la condivisione della connessione Internet (ICS).

In conclusione, suggeriamo sempre di soppesare le patch Microsoft rilasciate ogni mese valutando se la mancata applicazione possa di fatto esporre la propria organizzazione a qualche tipo di rischio. Ad esempio ad agosto 2024, abbiamo sollecitato l’installazione della patch di emergenza per la falla nell’implementazione dello stack IPv6 in Windows.

Per maggiori informazioni sulle patch Microsoft di settembre 2024, potete fare riferimento all’analisi composta da ISC-SANS.

Ti consigliamo anche

Link copiato negli appunti