Scopri l’ultimo aggiornamento che ha messo fine a un bug di 24 anni e a pericolose falle di sicurezza.
L’ultimo bollettino di sicurezza di Microsoft non è passato inosservato tra gli esperti di cyber security, suggellando la fine di una vulnerabilità che aveva oltrepassato i confini del tempo, permanendo nei sistemi operativi Windows per ben due decenni e mezzo. Nell’aggiornamento di Febbraio 2024 sono state messe in sicurezza 73 criticità, tra cui due minacce zero-day e un “bug giurassico”.
La sessione di aggiornamento periodica nota come Patch Tuesday ha visto Microsoft intervenire su un’ampia gamma di vulnerabilità, tra cui 5 etichettate come “critiche”, 65 giudicate “importanti” e 3 ritenute “moderate”. Il browser Edge, fondato sulla piattaforma Chromium, non è stato esente da correzioni, con ben 24 difetti esaminati e sistemati.
Di particolare allerta nel panorama della sicurezza informatica sono state due falle attivamente sfruttate al momento del lancio della patch. La prima, identificata come CVE-2024-21351, metteva in discussione la robustezza di Windows SmartScreen, potendo permettere la veicolazione di codice malevolo da parte di un attore ostile, con possibili conseguenze devastanti quali la perdita di dati o crash sistematici. La seconda, conosciuta come CVE-2024-21412, preoccupava per la facilità con cui poteva essere aggirata la sicurezza nei collegamenti internet, potenzialmente incorrendo in attacchi tramite file ad hoc realizzati da individui malintenzionati.
Entità come la Cybersecurity and Infrastructure Security Agency (CISA) statunitense hanno segnalato la gravità di tali difetti, inserendoli nel catalogo di vulnerabilità già sfruttate da attaccanti e instando all’applicazione rapida degli aggiornamenti da parte delle agenzie federali americane.
La rivelazione più sconcertante è stata senza dubbio la correzione di un’antica vulnerabilità, presente sui radar per una generazione intera; quest’ultima, segnata come CVE-2023-50387, metteva potenzialmente a repentaglio l’affidabilità del DNSSEC, dove uno sfruttamento intenso poteva condurre ad un esaurimento delle risorse della CPU e a un blocco dei risolutori DNS, con il risultato di un denial of service (DOS).
L’evento di aggiornamento non è stato un fenomeno isolato. Altri grandi attori del settore tecnologico quali Adobe, AMD, ASUS, Cisco, Intel, Ivanti, Lenovo hanno seguito l’esempio, rimarcando il principio di una costante vigilanza e di un aggiornamento proattivo per la tutela degli utenti nell’ecosistema digitale.
CVE-2023-50387
Il National Research Center for Applied Cybersecurity ATHENE ha scoperto una grave falla “giurassica” nel design di DNSSEC (DNS Security Extensions), essenziale per la sicurezza di Internet. Questa vulnerabilità, che affligge tutte le implementazioni DNS che validano DNSSEC e i fornitori di DNS pubblici come Google e Cloudflare, è stata sfruttata da un nuovo tipo di attacco denominato “KeyTrap”. Con un solo pacchetto DNS, KeyTrap può sovraccaricare la CPU e bloccare le implementazioni DNS più diffuse, con potenziali effetti devastanti sull’accessibilità di servizi Internet fondamentali. La falla, nonostante sia presente negli standard da circa 25 anni, è stata difficile da rilevare a causa della complessità dei requisiti di validazione di DNSSEC, rendendo non banale anche per gli esperti di DNS la sua identificazione. Questa situazione ricorda altre vulnerabilità meno complesse, come Heartbleed o Log4j, che sono rimaste inosservate per anni. La risoluzione di questa falla non è semplice, poiché è radicata nella filosofia di progettazione di DNSSEC e non si limita a un mero bug di implementazione software. Di conseguenza, per prevenire completamente gli attacchi potrebbe essere necessario rivedere gli standard di DNSSEC. ATHENE, il più grande centro di ricerca sulla sicurezza informatica in Europa, sta collaborando con i principali fornitori per mitigare il problema nelle loro implementazioni.