Microsoft esorta gli utenti Windows ad aggiornare i propri sistemi immediatamente dopo aver confermato quattro nuove vulnerabilità zero-day come parte della patch di sicurezza di novembre. Tra gli oltre 90 problemi di sicurezza segnalati, due di questi zero-day vengono sfruttati attivamente, comportando rischi significativi per gli utenti.
Comprendere le vulnerabilità zero-day
Microsoft ha una prospettiva unica su ciò che costituisce una minaccia zero-day, considerando sia le vulnerabilità divulgate pubblicamente sia quelle attivamente sotto attacco. Come evidenziato nel rilascio del Patch Tuesday di novembre 2024, due delle quattro vulnerabilità identificate vengono attualmente sfruttate.
CVE-2024-43451 è particolarmente notevole; si tratta di una vulnerabilità di spoofing della divulgazione dell’hash di NT LAN Manager che potrebbe esporre il protocollo di autenticazione NTLM. Secondo Ryan Braunstein, responsabile del team delle operazioni di sicurezza presso Automox, la falla richiede che venga sfruttata l’interazione dell’utente. Nello specifico, affinché l’attacco abbia successo, gli utenti devono aprire un file inviato tramite tentativi di phishing. Se compromessa, questa vulnerabilità consente agli aggressori di autenticarsi potenzialmente come utente grazie alla divulgazione dell’hashing NTLM, destinato a proteggere le password.
D’altro canto, CVE-2024-49039 è una vulnerabilità legata all’elevazione dei privilegi dell’Utilità di pianificazione di Windows. Henry Smith, un ingegnere senior della sicurezza presso Automox, ha notato che questo difetto sfrutta le funzioni di chiamata di procedura remota, consentendo a un utente malintenzionato di elevare i propri privilegi dopo aver ottenuto l’accesso iniziale a un sistema Windows. L’applicazione di patch rimane la difesa più affidabile contro queste vulnerabilità, soprattutto perché il codice di exploit funzionale è già in circolazione.
Vulnerabilità critiche classificate con gravità 9,8
In aggiunta all’allarme, due vulnerabilità sono state valutate come 9,8 sul Common Vulnerability Scoring System, indicando il loro potenziale impatto. CVE-2024-43498 colpisce le applicazioni Web .NET, consentendo agli aggressori remoti non autenticati di sfruttare l’applicazione tramite richieste dannose. Nel frattempo, CVE-2024-43639 prende di mira Windows Kerberos, consentendo agli aggressori non autorizzati di eseguire codice attraverso gli stessi vettori non autenticati.
L’attenzione principale, tuttavia, dovrebbe essere rivolta a due vulnerabilità della sicurezza valutate con un livello critico di 9,8 sulla scala di gravità dell’impatto, secondo Tyler Reguly, direttore associato per la ricerca e lo sviluppo sulla sicurezza presso Fortra. “Sebbene il Common Vulnerability Scoring System non sia un indicatore di rischio”, Reguly disse“i punteggi pari a 9,8 spesso indicano chiaramente dov’è il problema”.
Data la gravità di queste vulnerabilità, Microsoft sottolinea l’importanza di applicare aggiornamenti di sicurezza, in particolare per gli utenti che utilizzano Windows, Office, SQL Server, Exchange Server, .NET e Visual Studio. Chris Goettl, vicepresidente della gestione dei prodotti di sicurezza presso Ivanti, ha osservato che l’applicazione delle patch dovrebbe essere una priorità data la natura nota e attivamente sfruttata di queste vulnerabilità.
Monitoraggio degli attacchi e delle vulnerabilità recenti
Le preoccupazioni di Microsoft sono rafforzate dai recenti incidenti in cui gli hacker russi hanno sfruttato le vulnerabilità dei loro sistemi per attacchi mirati specificamente a entità ucraine. Ciò evidenzia le implicazioni più ampie di queste vulnerabilità oltre i semplici problemi software. I ricercatori di sicurezza di ClearSky hanno riferito che la vulnerabilità di divulgazione dell’hash NTLM (CVE-2024-43451) veniva utilizzata per rubare gli hash NTLMv2 attraverso schemi di phishing, attivando una sequenza che consentiva agli aggressori di ottenere l’accesso remoto ai sistemi compromessi.
Utilizzando collegamenti ipertestuali artificiali nelle e-mail di phishing, gli aggressori hanno costretto gli utenti a interagire con file dannosi, attivando la vulnerabilità che si connette a un server controllato dagli aggressori. Ciò sottolinea la pressante necessità per gli utenti di rimanere vigili e segnalare comunicazioni sospette.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto CVE-2024-43451 al suo catalogo delle vulnerabilità sfruttate note, imponendo alle organizzazioni di proteggere i propri sistemi vulnerabili entro l’inizio di dicembre. Come ha affermato la CISA, tali vulnerabilità spesso fungono da vettori di attacco per cyber criminali e comportano grandi rischi, soprattutto all’interno delle reti federali.
Armati della conoscenza di queste vulnerabilità, gli utenti sono invitati ad agire tempestivamente. Il Patch Tuesday di novembre di Microsoft è un passo necessario per mitigare i rischi associati ai difetti appena scoperti. Poiché gli ambienti di lavoro ibridi continuano a rendere confusi i confini della sicurezza informatica, aderire alle migliori pratiche e garantire aggiornamenti tempestivi può ridurre drasticamente l’esposizione a potenziali minacce.
Credito immagine in primo piano: Windows/Unsplash
