La versione Patchday di febbraio 2023 contiene patch per 75 CVE, nove classificate come critiche e 66 classificate come importanti. Sono inclusi anche: errore di elevazione dei diritti in Windows, elusione delle funzioni di sicurezza in Microsoft Office o lacune di sicurezza in Microsoft Exchange Server.
Questo mese Microsoft ha risolto tre vulnerabilità zero-day sfruttate dagli aggressori in natura, inclusi due bug di elevazione dei privilegi e un bug di bypass delle funzionalità di sicurezza.
CVE-2023-23376
Microsoft ha corretto CVE-2023-23376, un bug di elevazione dei privilegi nel driver Common Log File System (CLFS). La sua scoperta è attribuita ai ricercatori del Microsoft Threat Intelligence Center (MSTIC) e del Microsoft Security Response Center (MSRC), sebbene i dettagli del suo sfruttamento in natura non siano ancora stati rilasciati. È interessante notare che Microsoft ha corretto due bug simili nel driver CLFS nel 2022. CVE-2022-37969 è stato patchato come parte del patchday di aprile 2022 ed è accreditato ai ricercatori di NSA e CrowdStrike, mentre CVE-2022-37969 è stato patchato come parte del patchday di settembre 2022 ed è accreditato a più istituti di ricerca.
CVE-2023-21823
CVE-2023-21823 è un ulteriore difetto di elevazione dei privilegi, questa volta nel componente grafico di Microsoft Windows, che è stato sfruttato in natura. La capacità di elevare i privilegi una volta su un sistema bersaglio è importante per gli aggressori che vogliono causare più danni. Queste vulnerabilità sono utili in una varietà di contesti, indipendentemente dal fatto che un utente malintenzionato stia lanciando un attacco sfruttando vulnerabilità note o tramite spear phishing e payload di malware, motivo per cui spesso vediamo vulnerabilità di elevazione dei privilegi che compaiono regolarmente nelle versioni di Patchday che si trovano in natura essere sfruttati. Ai ricercatori del cliente è stato attribuito il merito di aver scoperto questo bug.
CVE-2023-21715
CVE-2023-21715 è un bypass della funzionalità di sicurezza in Microsoft Office. Questa vulnerabilità è stata sfruttata anche in natura. Un utente malintenzionato locale e autenticato potrebbe sfruttare questa vulnerabilità utilizzando tecniche di ingegneria sociale per convincere una potenziale vittima a eseguire un file appositamente predisposto sul proprio sistema, il che comporterebbe l'elusione delle funzionalità di sicurezza di Microsoft Office generalmente utilizzate dall'utente e bloccherebbe l'esecuzione di macro. La sua scoperta è attribuita a Hidetake Jo, un ricercatore di Microsoft.
Microsoft Exchange Server
Microsoft ha inoltre corretto tre vulnerabilità in Microsoft Exchange Server (CVE-2023-21706, CVE-2023-21707, CVE-2023-21529) classificate come più soggette a sfruttamento. Negli ultimi anni, i server Microsoft Exchange in tutto il mondo sono stati colpiti da molteplici vulnerabilità che vanno da ProxyLogon a ProxyShell e più recentemente ProxyNotShell, OWASSRF e TabShell. Queste vulnerabilità sono diventate risorse preziose per i criminali informatici sponsorizzati dallo stato provenienti da Iran, Russia e Repubblica popolare cinese per gestire i gruppi ransomware e le loro affiliate in devastanti attacchi ransomware. Incoraggiamo vivamente le organizzazioni che si affidano a Microsoft Exchange Server a garantire che dispongano degli aggiornamenti cumulativi più recenti per Exchange Server applicati."
Altro su Tenable.com
A proposito di Tenable Tenable è una società di esposizione informatica. Oltre 24.000 aziende in tutto il mondo si affidano a Tenable per comprendere e ridurre il rischio informatico. Gli inventori di Nessus hanno unito la loro esperienza in materia di vulnerabilità in Tenable.io, offrendo la prima piattaforma del settore che fornisce visibilità in tempo reale e protegge qualsiasi risorsa su qualsiasi piattaforma informatica. La base di clienti di Tenable comprende il 53% di Fortune 500, il 29% di Global 2000 e grandi agenzie governative.