L’aggiornamento di sicurezza di Microsoft di Febbraio 2024 mira a colmare diverse criticità, inclusi attacchi zero-day.
Microsoft ha lanciato una serie di aggiornamenti software volti a correggere oltre 70 vulnerabilità di sicurezza nei suoi sistemi operativi Windows e nei prodotti correlati. Tra le criticità risolte, si segnalano due vulnerabilità zero-day attualmente sfruttate in attacchi attivi.
La vulnerabilità identificata come CVE-2024-21412 rappresenta un serio bypass della funzionalità di sicurezza relativa al trattamento dei collegamenti Internet da parte di Windows. Si tratta di una falla particolarmente insidiosa perché è già oggetto di sfruttamento da parte di attori malevoli. Microsoft ammette che per l’attacco è necessario che l’utente venga indotto ad aprire un file di collegamento dannoso.
Il gruppo di minacce avanzato denominato Water Hydra è stato segnalato dagli analisti come uno dei principali sfruttatori di questa vulnerabilità, impiegando un file di installazione Microsoft (.msi) malevolo che instaura un trojan di accesso remoto nei sistemi Windows compromessi.
Una seconda vulnerabilità zero-day, etichettata come CVE-2024-21351, è stata riscontrata nel componente Windows SmartScreen, progettato per filtrare file potenzialmente nocivi quando scaricati da Internet. L’esperto di Immersive Labs, Kevin Breen, avverte che questa vulnerabilità da sola non è sufficiente per compromettere un sistema, ma può essere combinata con altre tecniche, come attacchi di phishing mirato, per ingannare l’utente e indurlo a scaricare file dannosi.
Altra criticità grave è CVE-2024-21410, una vulnerabilità di elevazione dei privilegi in Microsoft Exchange Server. Si tratta di una minaccia che, secondo i ricercatori, molto probabilmente verrà sfruttata attivamente dagli attaccanti, con il rischio di intercettazione delle hash NTLM, sfruttabili per condurre attacchi via relay o di tipo “pass the hash”.
Microsoft sottolinea l’importanza di mantenere i sistemi costantemente aggiornati, specialmente con l’ultimo Cumulative Update 14 (CU14) per Exchange Server 2019, che impiega di default l’Extended Protection for Authentication (EPA), una misura di sicurezza addizionale per la protezione delle credenziali NTLM.
In aggiunta, è stata individuata una vulnerabilità critica di esecuzione di codice a distanza in Microsoft Office, specificamente nel pannello di anteprima di Outlook. Gli esperti raccomandano di applicare immediatamente i relativi aggiornamenti per evitare che i documenti malevoli vengano aperti in modalità di modifica.
È essenziale che gli utenti di Windows installino regolarmente gli aggiornamenti di sicurezza forniti da Microsoft per proteggere i loro sistemi dalle crescenti minacce. Tuttavia, è anche consigliabile eseguire un backup dei dati e creare un’immagine del disco rigido prima di applicare nuovi aggiornamenti.
Per un’analisi dettagliata delle correzioni applicate da Microsoft, è possibile consultare la lista del SANS Internet Storm Center. Per gli amministratori responsabili di grandi ambienti Windows, può essere utile monitorare le segnalazioni su siti specializzati che si occupano di evidenziare problemi legati agli ultimi aggiornamenti Microsoft.