Microsoft ha emesso un avviso per un attacco zero-day in-the-wild che colpisce gli utenti di Windows e ha sollevato le sopracciglia quando ha accreditato il governo degli Stati Uniti National Security Agency (NSA) con la segnalazione dello sfruttamento dal vivo.
L’avvertimento è stato incorporato nella documentazione di Microsoft di un massiccio lotto di correzioni del software che viene spinto come parte dei rilasci programmati Patch Tuesday di questo mese.
Questo è il 15° attacco zero-day confermato visto finora nel 2022 e l’accreditamento della NSA da parte di Redmond suggerisce che è stato utilizzato da un attore di minacce avanzate in attacchi mirati.
Oltre alla NSA, Redmond ha accreditato un ricercatore di CrowdStrike per segnalare il problema.
Secondo un avviso scarno da Microsoft, la vulnerabilità — CVE-2022-24521 (CVSS 7.8) — è un problema di sicurezza della memoria nel driver del sistema Windows Common Log File che permette ad un utente locale di aumentare i privilegi sul sistema.
Secondo Microsoft, il difetto esiste a causa di un errore di confine, esponendo una situazione in cui un utente locale può eseguire codice dannoso per innescare la corruzione della memoria ed eseguire codice arbitrario con privilegi elevati.
L’azienda non ha fornito alcun dettaglio sugli exploit in-the-wild o sugli indicatori di compromissione (IOC) per aiutare i difensori a cercare segni di compromissione.
In tutto, secondo i dati di monitoraggio della società di bug bounty Zero Day Initiative (ZDI), Microsoft ha patchato un enorme 128 nuove vulnerabilità di Windows questo mese, tra cui una manciata di problemi che potrebbero rivelarsi wormable.
Le patch di aprile coprono gravi difetti di sicurezza in Microsoft Defender, Microsoft Dynamics, Exchange Server, Microsoft Office, SharePoint Server, Windows Hyper-V, DNS Server, Windows App Store e Windows Print Spooler Components.
I ricercatori di ZDI stanno esortando gli amministratori della flotta di Windows a dare priorità all’aggiornamento zero-day insieme a una manciata di bug critici che potrebbero causare attacchi worm basati sulla rete.
Questi includono CVE-2022-26809 (CVSS 9.8), un difetto che permette ad un attaccante remoto di eseguire codice con privilegi elevati su un sistema interessato. “Dal momento che non è richiesta alcuna interazione da parte dell’utente, questi fattori si combinano per rendere questo wormable, almeno tra le macchine dove RPC può essere raggiunto“, ha detto il ricercatore ZDI Dustin Childs.
“Questo bug potrebbe essere usato per il movimento laterale da un attaccante. Sicuramente testate e distribuite questo rapidamente“.
Oltre a Microsoft, anche Adobe si è unita al treno del Patch Tuesday con aggiornamenti per correggere almeno 78 vulnerabilità documentate in una serie di prodotti ampiamente distribuiti.
Secondo la documentazione di Adobe, alcuni dei problemi sono abbastanza gravi da esporre le imprese ad attacchi di esecuzione di codice remoto.
“Uno sfruttamento riuscito potrebbe portare all’esecuzione di codice arbitrario, perdite di memoria, bypass di funzioni di sicurezza ed escalation di privilegi“.
