Microsoft il 10 dicembre 2024 ha rilasciato patch che risolvono oltre 70 difetti di sicurezza, inclusa una vulnerabilità zero-day sfruttata attivamente nel Common Log File System (CLFS) di Windows. Le patch mirano a migliorare la sicurezza di vari componenti del sistema operativo in mezzo alle crescenti minacce informatiche.
Microsoft rilascia patch per oltre 70 difetti di sicurezza, inclusa la vulnerabilità zero-day
La vulnerabilità zero-day, identificata come CVE-2024-49138ha un punteggio di gravità CVSS di 7,8 su 10. Scoperto da CrowdStrike, consente agli aggressori di aumentare i propri privilegi a SYSTEM attraverso un buffer overflow basato su heap, richiedendo privilegi minimi e zero interazione da parte dell’utente per lo sfruttamento. Microsoft, tuttavia, non ha fornito indicatori di compromissione o telemetria per aiutare a identificare i sistemi interessati.
Il colosso del software ha riferito che negli ultimi cinque anni sono state documentate almeno 25 vulnerabilità in CLFS. All’inizio di quest’anno, Microsoft ha annunciato l’intenzione di rafforzare la sicurezza per CLFS con codici HMAC (Hash-based Message Authentication Codes) per proteggere da modifiche non autorizzate ai file di registro, un bersaglio per le minacce persistenti avanzate (APT) e gli exploit ransomware.
Tra le patch di dicembre, Microsoft ha evidenziato anche correzioni cruciali relative all’attacco HTTP/2 Rapid Reset, contrassegnato come CVE-2023-44487che era stato sfruttato in diffuse campagne di negazione del servizio. Originariamente patchato nell’ottobre 2024, gli utenti sono invitati a installare gli aggiornamenti disponibili per proteggere i propri sistemi.
L’aggiornamento ha risolto almeno 16 vulnerabilità di gravità critica in vari componenti di Windows. In particolare, Microsoft ha raccomandato un’azione immediata sulla vulnerabilità legata all’esecuzione di codice in modalità remota LDAP di Windows (CVE-2024-49112), che rappresenta un rischio critico con un punteggio CVSS di 9,8. Questa vulnerabilità consente agli aggressori non autenticati di eseguire codice arbitrario tramite chiamate LDAP appositamente predisposte. Microsoft consiglia di disconnettere temporaneamente i controller di dominio da Internet come strategia di mitigazione.
Altre vulnerabilità significative nella versione di dicembre includono difetti di esecuzione di codice remoto da guest a host in Windows Hyper-V e vulnerabilità RCE critiche che interessano Servizi Desktop remoto di Windows. Inoltre, sono stati risolti due problemi importanti nel servizio Microsoft Message Queuing (MSMQ) e un difetto RCE critico nel progetto Microsoft/Muzic AI.
Secondo Zero Day Initiative (ZDI), Microsoft ha rilasciato patch per un totale di 1.020 vulnerabilità nel 2024 fino ad oggi, di cui 27 documentati come attacchi zero-day contro l’ecosistema Windows di Microsoft quest’anno.
Il panorama della sicurezza rimane teso, con indagini in corso su varie vulnerabilità, inclusa la funzionalità di registrazione centralizzata. Con l’evolversi della situazione, l’urgenza per gli utenti di rimanere aggiornati con le patch di Microsoft è sottolineata dal continuo sfruttamento di numerose falle in circolazione.
Applicazione di patch ai componenti vulnerabili di Windows
L’evento Patch Tuesday di dicembre 2024 rappresenta uno sforzo fondamentale da parte di Microsoft per affrontare numerose vulnerabilità che potrebbero lasciare esposti i sistemi. In particolare, la serie di aggiornamenti include correzioni per vari servizi e applicazioni Windows ampiamente utilizzati nelle organizzazioni.
Le patch hanno affrontato le falle di sicurezza in applicazioni come Microsoft Office e Microsoft Edge, insieme alle vulnerabilità principali del sistema operativo. Ad esempio, CVE-2024-49063 comporta una vulnerabilità legata all’esecuzione di codice in modalità remota nella piattaforma Microsoft/Muzic e CVE-2024-49057 interessa Microsoft Defender per Endpoint su Android.
Altre vulnerabilità degne di nota includono molteplici difetti legati al Windows Lightweight Directory Access Protocol (CVE-2024-49112, CVE-2024-49121, CVE-2024-49124), ciascuno con livelli di gravità critici. Queste vulnerabilità consentono potenziali scenari di esecuzione di codice in modalità remota o di negazione del servizio che potrebbero compromettere gravemente le operazioni di rete.
Inoltre, anche vari componenti come Windows Mobile Broadband e PrintWorkflowUserSvc hanno dovuto affrontare vulnerabilità risolte in questo batch di aggiornamenti, sottolineando l’ampia gamma di problemi che Microsoft deve monitorare e correggere continuamente.
Credito immagine in primo piano: Microsoft 365/Unsplash
