Microsoft ha rilasciato aggiornamenti software critici per correggere almeno 73 difetti di sicurezza documentati nell’ecosistema Windows e ha avvertito che gli attaccanti sconosciuti stanno già lanciando attacchi zero-day man-in-the-middle.
Lo zero-day, segnalato come CVE-2022-26925, è descritto come una vulnerabilità di spoofing LSA di Windows che fornisce un percorso per gli attaccanti per autenticarsi ai controller di dominio.
“Un attaccante non autenticato potrebbe chiamare un metodo sull’interfaccia LSARPC e costringere il controller di dominio ad autenticare l’attaccante utilizzando NTLM“, Microsoft ha avvertito in un avviso scarno che ha riconosciuto lo sfruttamento dello zero-day.
“Questo aggiornamento di sicurezza rileva i tentativi di connessione anonima in LSARPC e li disabilita“, ha aggiunto Microsoft.
Come è consuetudine, l’azienda non ha fornito ulteriori dettagli sugli exploit visti in natura o qualsiasi IOC (indicatori di compromissione) per aiutare i difensori a caccia di segni di compromissione.
Anche se conferma lo sfruttamento zero-day del bug di spoofing LSA di Windows, Microsoft ha notato che gli attaccanti devono prima iniettarsi nel percorso logico di rete tra l’obiettivo e la risorsa richiesta dalla vittima per leggere o modificare le comunicazioni di rete.
Anche se lo scenario di attacco è complesso, gli esperti di sicurezza mettono in guardia dal minimizzare il rischio. “Mentre la falla è classificata come importante ed è stato assegnato un punteggio CVSSv3 di 8.1, se questa vulnerabilità è concatenata con altri attacchi NTLM Relay come PetitPotam, il punteggio CVSSv3 aumenterebbe a 9.8, elevando la gravità di questa falla a critica“, ha detto Satnam Narang, un ingegnere di ricerca personale di Tenable.
Oltre a patchare il bug zero-day, Narang ha raccomandato alle organizzazioni di fare riferimento a KB5005413 per i modi per mitigare gli attacchi di relay NTLM contro Active Directory Certificate Services.
Gli amministratori della flotta Windows sono anche invitati a prestare attenzione alle vulnerabilità multiple di Print Spooler patchate questo mese, comprese due falle di divulgazione delle informazioni (CVE-2022-29114, CVE-2022-29140) e due falle di elevazione dei privilegi (CVE-2022-29104, CVE-2022-29132).
I bug dello spooler di stampa sono classificati come “importanti“, e due dei tre sono considerati più probabili da sfruttare. “Windows Print Spooler continua a rimanere un obiettivo prezioso per gli attaccanti da quando PrintNightmare è stato divulgato quasi un anno fa. Le falle di elevazione del privilegio, in particolare, dovrebbero essere attentamente prioritarie“, ha aggiunto Narang.
Il lotto della toppa di questo mese inoltre richiama le vulnerabilità in .NET e Visual Studio, Microsoft Exchange Server, Microsoft Office, Windows Hyper-V, BitLocker, Remote Desktop Client, Windows Network File System, NTFS, e Windows Point-to-Point Tunneling Protocol.
Separatamente, il produttore di software Adobe ha spedito le patch per coprire almeno 18 gravi difetti di sicurezza in più prodotti per le imprese e ha avvertito che i sistemi senza patch sono a rischio di attacchi di esecuzione di codice a distanza.
Come parte del suo ciclo di rilascio pianificato ‘Patch Tuesday‘, Adobe ha avvertito di vulnerabilità critiche trovate e risolte nel processore di documenti FrameMaker, lo strumento di layout di pagina InDesign, lo strumento di cattura del movimento Character Animator e la piattaforma Adobe ColdFusion.
