Ricercatori nel campo della sicurezza informatica hanno condiviso informazioni riguardo una vulnerabilità, ora risolta, nella piattaforma MSHTML di Windows che poteva essere sfruttata per bypassare le protezioni di integrità sui computer bersaglio.
La vulnerabilità zero-click in Windows
La vulnerabilità, identificata come CVE-2023-29324 (punteggio CVSS: 6.5), è stata descritta come un bypass delle funzioni di sicurezza ed è stata corretta da Microsoft nell’ambito degli aggiornamenti Patch Tuesday di maggio 2023.
Ben Barnea, ricercatore di sicurezza di Akamai che ha scoperto e segnalato il bug, ha sottolineato che tutte le versioni di Windows sono interessate, ma ha evidenziato che i server Microsoft Exchange aggiornati a marzo non presentano la funzione vulnerabile.
L’abbondanza di cautela di Microsoft
Microsoft ha affrontato la vulnerabilità CVE-2023-24932 fornendo i materiali necessari per la patch nei file dell’aggiornamento Patch Tuesday di maggio 2023. Tuttavia, l’azienda ha scelto di non attivare automaticamente tutti i passaggi necessari per l’applicazione della patch, preferendo un approccio più cauto. Gli utenti devono seguire un processo manuale in tre fasi:
- Fase 1: Scaricare l’aggiornamento in modo che tutti i file necessari vengano installati sul disco rigido locale. Il computer utilizzerà il nuovo codice di avvio, ma continuerà ad accettare il vecchio codice, potenzialmente vulnerabile, per il momento. Questo passaggio non provoca la revoca automatica del vecchio codice di avvio.
- Fase 2: Applicare manualmente la patch a tutti i dispositivi avviabili (immagini di ripristino) per includere il nuovo codice di avvio. Questo assicura che le immagini di ripristino funzionino correttamente anche dopo aver completato la fase 3. Nel frattempo, i vecchi dischi di ripristino continueranno a funzionare, giusto per precauzione.
- Fase 3: Comunicare manualmente al computer di revocare il vecchio codice di avvio. Questo passaggio aggiunge un identificatore crittografico (un hash del file) alla lista di blocco del firmware della scheda madre per impedire l’utilizzo futuro del vecchio e vulnerabile codice di avvio, prevenendo così ulteriori exploit della CVE-2023-24932.
Seguendo questi passaggi in ordine, gli utenti riducono il rischio di bloccare il loro computer in un’avvio fallito, poiché la revoca del vecchio codice di avvio viene effettuata solo dopo aver aggiornato correttamente le immagini di ripristino.