Alla scoperta degli aggiornamenti di sicurezza Microsoft di luglio 2024, con particolari focus su vulnerabilità zero-day e altre criticità.
La Microsoft ha rilasciato importanti aggiornamenti di sicurezza per colmare almeno 139 falle in diverse versioni di Windows e altri prodotti Microsoft. È stato riscontrato che almeno due delle vulnerabilità siano già sfruttate in attacchi attivi contro utenti Windows.
Tra le falle di sicurezza di questo mese spicca la vulnerabilità CVE-2024-38080, relativa al componente Windows Hyper-V, che interessa Windows 11 e Windows Server 2022. Questa vulnerabilità permette agli attaccanti di aumentare i privilegi del proprio account su una macchina Windows. Sebbene Microsoft abbia confermato che questa vulnerabilità sia già sfruttata, i dettagli su come avviene l’exploit sono scarsi.
L’altra vulnerabilità zero-day, CVE-2024-38112, è legata a una debolezza nel motore MSHTML di Internet Explorer. Secondo Kevin Breen di Immersive Labs, lo sfruttamento di questa falla richiede una catena di exploit o modifiche programmatiche sull’host bersaglio. Dato che la vulnerabilità interessa tutti gli host da Windows Server 2008 R2 in poi, incluso i client, è essenziale dare priorità alla sua correzione.
Satnam Narang di Tenable ha evidenziato la vulnerabilità CVE-2024-38021 in Microsoft Office. Questa falla può portare alla divulgazione degli hash NTLM, utilizzabili per attacchi di relay NTLM o “pass the hash”, permettendo a un attaccante di impersonare un utente legittimo senza bisogno di autenticarsi. Sebbene il rischio sia mitigato dal fatto che la vulnerabilità non può essere sfruttata tramite il Preview Pane, le criticità restano significative.
Un’altra criticità, rilevata da Morphisec, riguarda la vulnerabilità CVE-2024-38021, che l’azienda ritiene meriti una classificazione di severità “critica” dato l’alto potenziale di sfruttamento. L’azienda sottolinea l’importanza di un’attenta gestione di questa falla, soprattutto per mittenti attendibili che permettono un attacco zero-click.
Nell’aggiornamento di giugno, Microsoft aveva corretto un difetto nel driver WiFi di Windows che permetteva di installare software malevolo semplicemente inviando un pacchetto di dati appositamente creato. Questo mese, la vulnerabilità CVE-2024-38053 in Windows Layer Two Bridge Network potrebbe avere un simile impatto e richiede particolare attenzione, soprattutto in ambienti condivisi come uffici, hotel e centri congressi.
Altri punti caldi includono tre vulnerabilità in Windows Remote Desktop assegnate con un punteggio CVSS di 9.8: CVE-2024-38077, CVE-2024-38074 e CVE-2024-38076. Queste falle permettono a pacchetti malevoli di sfruttare il servizio, rappresentando un rischio significativo.
Infine, oggi segna la fine del supporto di SQL Server 2014, una piattaforma ancora largamente utilizzata. Con oltre 110.000 istanze pubblicamente accessibili, questo rappresenta un ulteriore motivo per aggiornare rapidamente a versioni più recenti e supportate di MS-SQL.
È sempre una buona pratica mantenere il proprio sistema Windows aggiornato con le patch di sicurezza di Microsoft. Sebbene non sia necessario installarli immediatamente, è consigliabile farlo entro pochi giorni dal rilascio, al fine di prevenire potenziali problemi. Inoltre, effettuare backup dei dati e imaging del disco prima di applicare nuovi aggiornamenti può prevenire disagi in caso di malfunzionamenti.
Per un’analisi dettagliata delle falle corrette da Microsoft, si raccomanda di consultare la lista del SANS Internet Storm Center. Gli amministratori di grandi ambienti Windows possono trovare utili le informazioni su Askwoody.com, che spesso segnala quando specifici aggiornamenti Microsoft causano problemi a numerosi utenti.
In caso di problemi con l’installazione di questi aggiornamenti, è utile condividere esperienze e soluzioni nei commenti, poiché altri utenti potrebbero trovarsi nella stessa situazione.