Operazioni di Sicurezza

Riepilogo delle patch di gennaio 2023: gli aggiornamenti per Microsoft sono 98

Adobe saluta il nuovo anno con patch per 18 vulnerabilità in Reader, Acrobat e altri prodotti, mentre cala il sipario sull'ultimo supporto Win7, 8, RT
Scritto da
20 Gennaio 2023
Security Operations 3D Builder Adobe Reader CVE-2023-21531 CVE-2023-21552 CVE-2023-21559 CVE-2023-21674 CVE-2023-21678 CVE-2023-21743 Exp/2321552-A Exp/2321674-A featured MICROSOFT PATCH TUESDAY SharePoint Sophos X-Ops threat research Windows Windows 7 x-ops

Nei giorni scorsi Microsoft ha rilasciato patch per 98 vulnerabilità relative a nove famiglie dei suoi prodotti. Ciò include 11 problemi di gravità critica che interessano SharePoint e Windows. Ancora una volta la maggior parte dei CVE riguarda Windows: il sistema operativo ne presenta 66. A seguire 3D Builder, obiettivo meno comune per il Patch Tuesday, con 14 problemi RCE di gravità importante (3D Builder è stato installato per impostazione predefinita su Windows 10, ma non su versioni precedenti o successive del sistema operativo).

Per quanto riguarda il resto, Office ed Exchange raccolgono rispettivamente 6 e 5 patch (tutte di gravità importante), SharePoint riceve 3 correzioni e Azure, Malware Protection Engine di Microsoft, .NET e Visual Studio se ne aggiudicano una ciascuno.

Microsoft ha anche annunciato una patch, rilasciata in precedenza, in merito ad una vulnerabilità sandbox escape di gravità moderata, la quale interessa il browser Edge basato su Chromium: come di consueto con i rilasci del Patch Tuesday questo problema non viene conteggiato tra i 98 di cui sopra, e oltretutto non richiede alcuna azione come parte del rilascio stesso.

Nonostante il numero totale elevato di patch, finora la maggior parte dei 98 problemi affrontati sembra apparentemente essere stata fuori dalla portata dei radar. Solo un problema risolto questo mese (CVE-2022-21674, un Windows EoP di gravità importante) è stato scoperto essere sotto exploit, e anche allora non sembrava esserci alcun codice divulgato in grado di risolvere questo bug ALPC (Advanced Local Procedure Call).

Detto questo, le valutazioni di gravità di Microsoft potrebbero non raccontare la storia nella sua interezza. Cinque delle patch di Windows di questo mese hanno ottenuto un punteggio di base CVSS (Common Vulnerability Scoring System) di gravità critica 9,8. Quattro di queste cinque patch riguardano Windows Layer 2 Tunneling Protocol (L2TP). Tutte e cinque comportano problemi di esecuzione di codice in modalità remota e non richiedono né l’interazione dell’utente, né l’accesso privilegiato per essere sfruttati. L2TP è anche al centro di due patch aggiuntive nel set di questo mese, e gli utenti dei servizi VPN di Microsoft sono nel contempo incoraggiati a prenderle seriamente in considerazione.

Il 10 gennaio è anche stato l’ultimo giorno dell’attività di Patch Tuesday per Windows 7, poiché la fine del supporto dell’aggiornamento di sicurezza esteso pone termine alla lunga vita di questa versione del sistema operativo (il supporto mainstream per Win 7 è terminato nel 2020, e la fine di ESU significa che anche gli aggiornamenti di sicurezza cruciali non verranno più rilasciati regolarmente). Si sta concludendo anche il supporto per Windows 8, 8.1 e RT, a cui non è stata concessa una propria ESU. Delle patch di questo mese, 42 si applicano a Win7 e 48 si applicano ad almeno una versione di Win8.

Riguardo alle notizie sulle patch, Microsoft ha anche trasmesso informazioni su 15 problemi risolti oggi dalle patch per Adobe Acrobat e Reader per Windows e MacOS, le prime patch Reader rilasciate dall’ottobre 2021. Tutte e 15 riguardano le versioni Reader 22.003.20282 (Windows), 22.003.20281 (Mac) e versioni precedenti, nonché Acrobat versioni 20.005.30418 e precedenti. Nessuno dei 15 è noto per essere sotto exploit attivo in the wild. Le specifiche delle vulnerabilità, tuttavia, variano leggermente, con 4 letture fuori limite, 2 scritture fuori limite e, tra i problemi affrontati, un paio di violazioni dei principi di progettazione sicura. Adobe ha inoltre rilasciato oggi le patch per Dimension, InDesign e InCopy. Ulteriori informazioni sulle patch Adobe sono disponibili sul sito dell’azienda.

Alcuni numeri:

  • CVE Microsoft totali: 98
  • Avvisi totali spediti in aggiornamento: 0
  • Divulgati pubblicamente: 0
  • Sfruttamenti rilevati: 1
  • Sfruttamenti più probabili nell’ultima versione: 7
  • Sfruttamenti più probabili nelle versioni precedenti: 4
  • Gravità
    • Critica: 11
    • Importante: 87
  • Impatto
    • Elevazioni del privilegio: 38
    • Esecuzioni codice remoto: 34
    • Divulgazioni di informazioni: 10
    • Denial of Service: 10
    • Bypass della funzione di sicurezza: 4
    • Spoofing: 2
A bar chart showing the vuln categories addressed in Microsoft's January 2023 Patch Tuesday release; the information is also provided in the list above the chart, but this image also shows that there are Critical-class vulns in the Elevation of Privilege, Remote Code Execution, and Security Feature Bypass categories.
Figura 1: il 2023 si apre con un numero di problemi di divulgazione di informazioni superiore al solito, ma l’elevazione dei privilegi e l’esecuzione di codice in modalità remota continuano a dominare

Prodotti interessati:

  • Microsoft Windows: 66
  • 3D Builder: 14
  • Microsoft Office: 6
  • Microsoft Exchange: 5
  • SharePoint: 3
  • Azure: 1 (escluse le 70 patch di Windows applicabili a Windows Server 2022 Datacenter: Azure Edition)
  • Malware Protection Engine: 1
  • .NET: 1
  • Visual Studio: 1
A bar chart showing the distribution of patches among nine Microsoft product families, as described in text.
Figura 2: Windows riceve una varietà di patch questo mese, riducendo i requisiti per altre famiglie di prodotti

Aggiornamenti rilevanti di gennaio

CVE-2023-21743: Microsoft SharePoint Server Security Feature Bypass Vulnerability

L’unico problema di gravità critica tra le tre patch SharePoint di gennaio, vale a dire quello che consentirebbe ad un utente non autenticato di stabilire una connessione anonima ad uno specifico server SharePoint, è contrassegnato da Microsoft come il più probabile nell’essere sfruttato entro i primi trenta giorni dopo il Patch Tuesday. Ciò rende l’implementazione di questa patch una priorità per gli amministratori, ma Microsoft rileva che sono necessari ulteriori passaggi manuali per il processo di applicazione delle patch: i clienti devono per prima cosa attivare un’azione di aggiornamento di SharePoint. Questa azione obbligatoria può essere attivata eseguendo la Configurazione guidata prodotti SharePoint, il cmdlet Upgrade-SPFarm di PowerShell o il comando “psconfig.exe -cmd upgrade -inplace b2b” in ogni server SharePoint dopo l’installazione dell’aggiornamento.

CVE-2023-21531, Azure Service Fabric Container Elevation of Privilege Vulnerability

Questo problema di classe importante è abbastanza specifico nei suoi parametri. Ne sono interessati solo gli utenti che implementano i container dell’app Docker, e va sottolineato che un utente malintenzionato dovrebbe prima essere presente sul sistema con accesso root e che l’ambiente di destinazione dovrebbe essere già configurato in modo specifico. In caso di successo, l’autore dell’attacco acquisirà il controllo del cluster di Service Fabric in questione, ma non eleverà i privilegi all’esterno del cluster compromesso. Detto questo, il bollettino segnala che la patch limita l’accesso a una specifica risorsa interna della piattaforma Azure (168.63.129.16), e che gli amministratori devono verificare che non stiano effettuando chiamate o richieste a quell’indirizzo IP prima di procedere con la patch, poiché una volta abilitata le richieste dal cluster a quella specifica risorsa falliranno.

CVE-2023-21559, Windows Cryptographic Services Information Disclosure Vulnerability
CVE-2023-21678, Windows Print Spooler Elevation of Privilege Vulnerability

Queste due vulnerabilità di gravità importante, altrimenti insignificanti, sono principalmente interessanti a causa dei loro rilevatori accreditati, rispettivamente, il Communications Security Establishment (CSE) del Canada e la National Security Agency (NSA) degli Stati Uniti.

Protezioni Sophos

Come ogni mese, se non vuoi aspettare che il tuo sistema scarichi in automatico gli aggiornamenti di Microsoft, puoi farlo tu manualmente dal sito Web Windows Update Catalog. Esegui il tool winver.exe per determinare quale build di Windows 10 o 11 stai utilizzando; quindi, scarica il Cumulative Update package per l’architettura e il numero di build del tuo sistema.

 

L’autore

Angela Gunn is a senior threat researcher in Sophos X-Ops. As a journalist and columnist for two decades, her outlets included USA Today, PC Magazine, Computerworld, and Yahoo Internet Life. Since morphing into a full-time technologist, she has focused on incident response, privacy, threat modeling, GRC, OSINT, and security training at companies including Microsoft, HPE, BAE AI, and SilverSky.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *