Microsoft ha rilasciato la tornata mensile di aggiornamenti del Patch Tuesday per risolvere 84 nuove falle di sicurezza che coprono diverse categorie di prodotti, contando anche una vulnerabilità zero-day che è oggetto di un attacco attivo in natura.
Delle 84 falle, quattro sono classificate come critiche e 80 come importanti.
Il gigante tecnologico ha risolto separatamente anche altri due bug nel browser Edge basato su Chromium, uno dei quali elimina un’altra falla zero-day che Google ha rivelato essere attivamente sfruttata in attacchi reali.
In cima alla lista degli aggiornamenti di questo mese c’è CVE-2022-22047 (punteggio CVSS: 7,8), un caso di escalation dei privilegi nel Windows Client Server Runtime Subsystem (CSRSS) che potrebbe essere sfruttato da un aggressore per ottenere i permessi di SISTEMA.
Oltre a CVE-2022-22047, sono state risolte altre due falle di elevazione dei privilegi nello stesso componente – CVE-2022-22026 (punteggio CVSS: 8,8) e CVE-2022-22049 (punteggio CVSS: 7,8) – segnalate dal ricercatore di Google Project Zero Sergei Glazunov.
“Un aggressore autenticato localmente potrebbe inviare dati appositamente creati al servizio CSRSS locale per elevare i propri privilegi da AppContainer a SYSTEM”, ha dichiarato Microsoft in un avviso per CVE-2022-22026.
“Poiché l’ambiente AppContainer è considerato un limite di sicurezza difendibile, qualsiasi processo in grado di aggirare il limite è considerato un cambiamento di ambito. L’aggressore potrebbe quindi eseguire codice o accedere a risorse a un livello di integrità superiore a quello dell’ambiente di esecuzione AppContainer”.
Microsoft ha posto rimedio anche a una serie di bug di esecuzione di codice remoto in Windows Network File System (CVE-2022-22029 e CVE-2022-22039), Windows Graphics (CVE-2022-30221), Remote Procedure Call Runtime (CVE-2022-22038) e Windows Shell (CVE-2022-30222).
L’aggiornamento si distingue inoltre per la correzione di ben 32 problemi nel servizio di continuità aziendale Azure Site Recovery. Due di queste falle sono legate all’esecuzione di codice remoto e le altre 30 riguardano l’escalation dei privilegi.
“Il successo dello sfruttamento […] richiede che un utente malintenzionato comprometta le credenziali di amministrazione di una delle macchine virtuali associate al server di configurazione”, ha dichiarato l’azienda, aggiungendo che le falle non “consentono la divulgazione di informazioni riservate, ma potrebbero permettere a un utente malintenzionato di modificare i dati che potrebbero rendere il servizio non disponibile”.
Inoltre, l’aggiornamento di luglio di Microsoft contiene anche correzioni per quattro vulnerabilità di escalation dei privilegi nel modulo Print Spooler di Windows (CVE-2022-22022, CVE-2022-22041, CVE-2022-30206 e CVE-2022-30226) dopo una breve tregua nel giugno 2022, sottolineando quello che sembra essere un flusso infinito di falle che affliggono la tecnologia.
Gli aggiornamenti del Patch Tuesday sono completati da due importanti correzioni di vulnerabilità di manomissione in Windows Server Service (CVE-2022-30216) e Microsoft Defender for Endpoint (CVE-2022-33637) e da tre falle DoS (denial-of-service) in Internet Information Services (CVE-2022-22025 e CVE-2022-22040) e Security Account Manager (CVE-2022-30208).
