Microsoft ha pubblicato l’aggiornamento mensile di sicurezza, noto come Patch Tuesday, svelando un totale di 69 vulnerabilità che colpiscono la sua suite di prodotti e software. Cinque di queste vulnerabilità sono considerate critiche, mentre 45 sono classificate come di alta gravità, 17 di media gravità e due di bassa gravità.
Una buona notizia è che, per la prima volta in quattro mesi, nessuna delle vulnerabilità divulgate da Microsoft durante Patch Tuesday è stata sfruttata nell’ambiente reale. Il numero di vulnerabilità rivelate questo mese si avvicina alla media, dopo che il mese scorso sono state divulgate solo 40 vulnerabilità, il che rappresentava un minimo degli ultimi tre anni.
Tra le vulnerabilità rivelate, Cisco Talos ha scoperto due vulnerabilità in Microsoft Excel che l’azienda ha prontamente corretto. Queste vulnerabilità sono classificate come di importanza elevata e possono essere sfruttate quando l’utente interessato apre un file creato dall’attaccante.
Inoltre, sono state rivelate tre vulnerabilità critiche che colpiscono l’ambiente del server Windows Pragmatic General Multicast (PGM) con un punteggio di gravità pari a 9.8. Queste vulnerabilità potrebbero portare all’esecuzione remota di codice. In particolare, in un ambiente del server Windows Pragmatic General Multicast (PGM) in cui è in esecuzione il servizio di accodamento dei messaggi di Windows, un attaccante potrebbe inviare un file appositamente creato sulla rete per ottenere l’esecuzione remota di codice e tentare di attivare codice maligno. Microsoft consiglia agli utenti di fare riferimento a impostazioni, configurazioni standard o migliori pratiche esistenti per ridurre al minimo l’impatto di questa vulnerabilità.
Un’altra vulnerabilità critica di rilievo è la CVE-2023-29357, che rappresenta un’escalation di privilegi in Microsoft SharePoint Server. Anche questa vulnerabilità ha un punteggio di gravità pari a 9.8. Un attaccante che sfrutta con successo questa vulnerabilità potrebbe ottenere privilegi di amministratore. L’attaccante potrebbe falsificare i token di autenticazione JSON Web Token [JWT] e utilizzarli per eseguire un attacco di rete che bypassa l’autenticazione e consente di ottenere accesso ai privilegi di un utente autenticato. L’attaccante non richiede alcuna interazione dell’utente per sfruttare questa vulnerabilità. Microsoft consiglia ai clienti di applicare tutti gli aggiornamenti offerti per il server SharePoint Enterprise. I clienti on-premises possono attivare la funzionalità AMSI, che li protegge da questa vulnerabilità.
Inoltre, Cisco Talos desidera sottolineare alcune vulnerabilità di alta gravità che Microsoft ritiene “più probabili” di essere sfruttate. Ad esempio, è stata individuata una vulnerabilità di esecuzione remota di codice di alta gravità (CVE-2023-28310) in Microsoft Exchange Server. Un attaccante autenticato nella stessa rete intranet del server Exchange può ottenere l’esecuzione remota di codice tramite una sessione remota di PowerShell.
Microsoft Exchange Server contiene anche una vulnerabilità di esecuzione remota di codice di alta gravità (CVE-2023-32031), con un punteggio di gravità pari a 8.8. Un attaccante che sfrutta con successo questa vulnerabilità può prendere di mira gli account del server per eseguire codice arbitrario o eseguire codice remoto. Come utente autenticato, l’attaccante può tentare di attivare codice maligno nel contesto dell’account del server tramite una chiamata di rete.
Queste sono solo alcune delle vulnerabilità rivelate da Microsoft durante Patch Tuesday. Per una lista completa, si consiglia di consultare la pagina degli aggiornamenti di Microsoft.
Per rispondere a queste divulgazioni di vulnerabilità, Talos ha rilasciato un nuovo set di regole Snort che rilevano i tentativi di sfruttare alcune di esse. Si consiglia agli utenti di aggiornare i prodotti interessati il prima possibile e di consultare i set di regole Snort per ulteriori informazioni sulla protezione.
Nel complesso, il rilascio di giugno 2023 di Microsoft Patch Tuesday offre una serie di aggiornamenti di sicurezza fondamentali per proteggere i sistemi dagli attacchi informatici. Gli utenti e gli amministratori sono incoraggiati ad applicare tempestivamente gli aggiornamenti per proteggere i propri dispositivi e reti.