Apr 10, 2024 Approfondimenti, News, RSS, Vulnerabilità, Vulnerabilità
Il Patch Tuesday di aprile di Microsoft ha risolto ben 150 vulnerabilità, di cui tre a rischio elevato/critico. Due dei bug sono stati già sfruttati dagli attaccanti, anche se la compagnia inizialmente non se ne era resa conto; a rivelarlo sono stati i ricercatori di Sophos e Trend Micro.
Delle vulnerabilità risolte, 67 erano bug di RCE (remote code execution), 31 di elevamento dei privilegi e 29 di bypass di feature di sicurezza. Le restanti ricadono nelle categorie dell’information disclosure (13), del DoS (7) e dello spoofing (3).
Tra i bug più critici ci sono la CVE-2024-29052, una vulnerabilità che colpisce Microsoft Defender for IoT e consente l’esecuzione di codice da remoto. Stando ai dettagli condivisi da Microsoft, la vulnerabilità può essere sfruttata solo da utenti autenticati, anche con privilegi base.
Un’altra vulnerabilità importante è la CVE-2024-21323: anche in questo caso si tratta di un bug di RCE che colpisce Microsoft Defender for IoT e richiede privilegi base per essere sfruttata. Dopo aver inviato ed estratto un file .tar al sensore Defender for IoT, un attaccante può continuare a inviare pacchetti non firmati e sovrascrivere qualsiasi tipo di file.
Il bug segnalato come più critico è invece CVE-2024-29990, una vulnerabilità di Elevation of Privilege che colpisce Azure Kubernetes Service Confidential Container e non richiede autenticazione. Un attaccante in grado di sfruttare il bug può sottrarre credenziali utente e accedere a risorse al di fuori dello scope dei container Azure Kubernetes Service Confidential.
Il Patch Tuesday di aprile ha risolto due vulnerabilità zero-day già sfruttate dagli attaccanti. La prima, tracciata come CVE-2024-26234, è un bug di spoofing che colpisce Windows Proxy Driver.
Gli attaccanti hanno usato un driver malevolo firmato con un certificato Microsoft valido per installare una backdoor sui dispositivi infetti e monitorare il traffico di rete. La compagnia, dopo aver saputo che la vulnerabilità era stata sfruttata, ha immediatamente revocato il certificato.
L’altra vulnerabilità, la CVE-2024-29988, è un bug di Security Bypass presente in Microsoft Defender Smartscreen che consente a un attaccante di inviare allegati malevoli e superare i controlli di sicurezza di Smartscreen quando il file viene aperto. Il bug è stato utilizzato dal gruppo Water Hydra per colpire utenti di forum di forex trading e canali Telegram di stock trading con attacchi di spearphishing che miravano all’esecuzione di trojan ad accesso remoto.