Il fatto:
Il programma di aggiornamento di sicurezza di Microsoft, noto come Patch Tuesday, per febbraio include correzioni per due vulnerabilità di sicurezza Zero-Day attivamente sfruttate, oltre a 71 altre falle in una vasta gamma dei suoi prodotti. La priorità è data alle Vulnerabilità Critiche di Exchange e Outlook.
In totale, cinque delle vulnerabilità per le quali Microsoft ha rilasciato una patch a febbraio sono state classificate come critiche, 66 come importanti e due come moderate.
L’aggiornamento include patch per Microsoft Office, Windows, Microsoft Exchange Server, il browser Microsoft Edge basato su Chromium, Azure Active Directory, Microsoft Defender for Endpoint e Skype for Business. Tenable ha identificato 30 dei 73 CVE come vulnerabilità di esecuzione remota del codice (RCE); 16 come abilitanti per una priviledge escalation; 10 legati ad attività di spoofing; nove abilitanti per attacchi di negazione del servizio distribuiti (Ddos); cinque come difetti di divulgazione delle informazioni; e tre come problemi di bypass della sicurezza.
Utilizzo da parte del threat actor Water-Hydra
Un attore minaccioso soprannominato Water Hydra (alias Dark Casino) sta attualmente sfruttando una delle vulnerabilità Zero-Day: una vulnerabilità di bypass della funzione di sicurezza dei file utilizzati come Internet Shortcut, tracciata come CVE-2024-21412 (CVSS 8.1), in una campagna malevola mirata a organizzazioni del settore finanziario.
I ricercatori di Trend Micro – tra i vari che hanno scoperto e segnalato la falla a Microsoft – l’hanno descritta come legata a un bypass di una vulnerabilità SmartScreen precedentemente patchata (CVE-2023-36025, CVSS 8.8) e che colpisce tutte le versioni supportate di Windows. Gli attori di Water Hydra stanno utilizzando la CVE-2024-21412 per ottenere l’accesso iniziale ai sistemi appartenenti ai trader finanziari e depositare il trojan di accesso remoto DarkMe su di essi.
Per sfruttare la vulnerabilità, un attaccante dovrebbe prima consegnare un file dannoso a un utente prescelto e convincerlo ad aprirlo, ha detto Saeed Abbasi, responsabile della ricerca sulle vulnerabilità presso Qualys.”L’impatto di questa vulnerabilità è profondo, compromettendo la sicurezza e minando la fiducia nei meccanismi di protezione come SmartScreen”, ha detto Abbasi.
Zero-Day SmartScreen Bypass
L’altro Zero-Day che Microsoft ha reso noto nell’aggiornamento di sicurezza di questo mese riguarda Defender SmartScreen. Secondo Microsoft, CVE-2024-21351 è un bug di media gravità che consente a un attaccante di bypassare le protezioni di SmartScreen e iniettare codice in esso per potenzialmente ottenere capacità di esecuzione remota del codice. Un exploit riuscito potrebbe portare a una limitata esposizione dei dati, problemi di disponibilità dei sistemi o entrambi, ha detto Microsoft. Non ci sono dettagli disponibili su chi potrebbe essere esattamente a sfruttare il bug e per quale scopo.
Per questa vulnerabilità, un attaccante deve distribuire un file dannoso a un utente e convincerlo ad aprirlo, consentendo loro di eludere i controlli di SmartScreen e potenzialmente compromettere la sicurezza del sistema.
Altre CVE degne di nota:
La vulnerabilità critica CVE-2024-21410 in Exchange Server è una delle principali preoccupazioni nell’aggiornamento di sicurezza di febbraio. Gli attaccanti potrebbero sfruttare questa falla per ottenere l’hash NTLM di un utente e autenticarsi su un server Exchange interessato. Questo tipo di informazioni sensibili è molto prezioso per i criminali informatici. Per proteggersi, gli amministratori di Exchange devono installare l’ultimo aggiornamento cumulativo e abilitare la funzione di protezione estesa per l’autenticazione. Anche se il punteggio CVSS potrebbe non riflettere appieno la minaccia, le vulnerabilità di escalation dei privilegi sono spesso utilizzate dagli attaccanti.
Un’altra preoccupazione è la vulnerabilità CVE-2024-21413 in Microsoft Outlook. Questa vulnerabilità, con un punteggio di gravità quasi massimo, consente agli attaccanti di eseguire codice tramite il riquadro di anteprima di Outlook, eludendo la protezione protetta di Office. Anche se Microsoft la considera meno probabile per gli attacchi, si ritiene una minaccia significativa che richiede un’azione tempestiva.
In sintesi, queste vulnerabilità critiche richiedono l’attenzione prioritaria degli amministratori di sistema per proteggere le loro organizzazioni da potenziali attacchi informatici.
