L’aggiornamento di sicurezza di luglio di Microsoft contiene correzioni per ben 130 vulnerabilità uniche. L’azienda ha reputato nove di questi difetti come di gravità critica e 121 di essi come gravità moderata o importante.

Le vulnerabilità interessano un’ampia gamma di prodotti Microsoft tra cui Windows, Office, .Net, Azure Active Directory, driver di stampa, server DMS e desktop remoto. L’aggiornamento contiene il solito mix di difetti di Remote Code Execution (RCE), bypass di sicurezza e problemi di escalation dei privilegi, bug di divulgazione delle informazioni e vulnerabilità Denial of Service (DoS).

“Questa entità di correzioni è la più alta che si è visto negli ultimi anni, anche se non è insolito vedere Microsoft inviare un gran numero di patch proprio prima della conferenza Black Hat USA”, ha dichiarato Dustin Childs, ricercatore di sicurezza presso Trend Micro’s Zero Day Initiative (ZDI), in un post.

La micaccia più grave è chiamata CVE-2023-36884 , un bug di esecuzione di codice remoto (RCE) in Office e Windows HTML, per il quale Microsoft non disponeva di una patch nell’aggiornamento di questo mese. La società ha identificato un gruppo di minacce chiamate Storm-0978, che sta monitorando, che sfruttano una falla in una campagna di phishing rivolta a organizzazioni governative e di difesa in Nord America ed Europa

La campagna prevede che l’hacker distribuisca una backdoor, soprannominata RomCom, tramite documenti Windows che tratta temi relativi al Congresso mondiale ucraino. “Le operazioni mirate di Storm-0978 hanno avuto un impatto sulle organizzazioni governative e militari principalmente in Ucraina, nonché su organizzazioni in Europa e Nord America potenzialmente coinvolte negli affari ucraini”, ha affermato Microsoft in un post che ha accompagnato l’aggiornamento di sicurezza di luglio. “Gli attacchi ransomware identificati hanno avuto un impatto sui settori delle telecomunicazioni e della finanza, tra le altre cose”.

Due delle cinque vulnerabilità, che vengono attivamente sfruttate, sono difetti di bypass della sicurezza. Uno riguarda Microsoft Outlook ( CVE-2023-35311 ) e l’altro coinvolge Windows SmartScreen ( CVE-2023-32049 ). Entrambe le vulnerabilità richiedono l’interazione dell’utente, il che significa che un malintenzionato potrebbe sfruttarle solo convincendo un utente a fare clic su un URL dannoso. Con questa ultima vulnerabilità, un hacker sarebbe in grado di aggirare il prompt Apri file – Avviso di sicurezza e si ritiene che probabilmente gli hacker potranno utilizzarla come parte di una catena di attacchi più ampia, mentre CVE-2023-35311 offre agli aggressori un modo per aggirare il loro attacco tramite il prompt Avviso di sicurezza di Microsoft Outlook.

“È importante notare che CVE-2023-35311 consente specificamente di aggirare le funzionalità di sicurezza di Microsoft Outlook e non abilita l’esecuzione di codice in modalità remota o l’escalation dei privilegi”, ha affermato Mike Walters, vicepresidente della ricerca sulle vulnerabilità e sulle minacce di Action1. “Pertanto, è probabile che gli aggressori lo combinino con altri exploit per un attacco più completo. La vulnerabilità interessa tutte le versioni di Microsoft Outlook dal 2013 in poi

Gli altri due zero-day nell’ultimo set di patch di Microsoft abilitano entrambi l’escalation dei privilegi. I ricercatori del Threat Analysis Group di Google ne hanno scoperto uno. Il difetto, è un problema di elevazione dei privilegi nel servizio WER (Windows Error Reporting, il servizio WER è una funzionalità dei sistemi operativi Microsoft Windows che raccoglie e invia automaticamente segnalazioni di errori a Microsoft quando un determinato software si arresta in modo anomalo o incontra altri tipi di errori), che offre ai malintenzionati un modo per ottenere diritti amministrativi sui sistemi vulnerabili.

L’altro bug di elevazione dei privilegi nell’aggiornamento della sicurezza di luglio, che gli aggressori stanno già sfruttando attivamente, è CVE-2023-32046 nella piattaforma Windows MSHTM di Microsoft, noto anche come motore di rendering del browser “Trident”. Come per molti altri bug, anche questo richiede un certo livello di interazione da parte dell’utente. In uno scenario di attacco tramite posta elettronica per sfruttare il bug, un hacker dovrebbe inviare a un utente mirato un file appositamente predisposto e chiedere all’utente di aprirlo. In un attacco basato sul Web, un hacker dovrebbe ospitare un sito Web dannoso o utilizzarne uno compromesso per ospitare un file appositamente predisposto e quindi convincere una vittima ad aprirlo, secondo quanto affermato da Microsoft.

I ricercatori di sicurezza hanno indicato tre vulnerabilità RCE nel servizio di routing e accesso remoto di Windows (RRAS) come meritevoli di attenzione prioritaria, Microsoft ha valutato tutte e tre le vulnerabilità come critiche. Il servizio non è disponibile come impostazione predefinita su Windows Server e sostanzialmente consente ai computer che eseguono il sistema operativo, di funzionare come router, server VPN e server dial-up, un aggressore potrebbe modificare le configurazioni di rete, rubare dati, passare ad altri sistemi più critici/importanti o creare account aggiuntivi per l’accesso permanente al dispositivo.

Il gigantesco aggiornamento di luglio di Microsoft contiene correzioni per quattro vulnerabilità RCE nel server SharePoint, che recentemente è diventato un obiettivo popolare per gli hacker. Microsoft ha valutato due dei bug come “importanti” e gli altri due come “critici”. “Tutti richiedono che l’attaccante sia autenticato o che l’utente esegua un’azione che, fortunatamente, riduce il rischio di una violazione.

Inoltre, Microsoft ha pubblicato un avviso circa una sua indagine sui recenti rapporti sugli hacker che utilizzano driver certificati dal Microsoft’s Windows Hardware Developer Program  (MWHDP)  nell’attività post-exploit.