Con l’ultimo aggiornamento cumulativo di luglio, Microsoft ha incluso diverse patch di sicurezza per alcune vulnerabilità di Windows 10 e 11.
Corrette sei vulnerabilità 0-day
Microsoft ha annunciato di aver corretto 132 falle scoperte recentemente, 9 delle quali classificate come critiche, dopo quelle scoperte gli scorsi mesi. Nello specifico, sono state patchate sei vulnerabilità 0-day, classificata come CVE-2023-32046, CVE-2023-32049, CVE-2023-36874, CVE-2023-35311, CVE-2023-36884 e ADV230001, tutte sfruttate attivamente riguardanti l’elevazione dei privilegi e altri exploit.
In particolare, come riporta Microsoft, la falla CVE-2023-36884 sarebbe stata utilizzata per degli attacchi a delle organizzazioni partecipanti a un recente vertice NATO sfruttando l’esecuzione di codice in remoto rubando credenziali per fini finanziari e di spionaggio.
Microsoft ha identificato una campagna di phishing condotta dall’attore della minaccia tracciato come Storm-0978 che prende di mira enti governativi e di difesa in Europa e Nord America. La campagna prevedeva l’abuso di CVE-2023-36884, che includeva una vulnerabilità di esecuzione di codice in modalità remota sfruttata prima della divulgazione a Microsoft tramite documenti Word, utilizzando esche legate al Congresso mondiale ucraino.
Microsoft ha fatto sapere di aver corretto una falla sfruttata da un gruppo di hacker cinesi che ha violato alcuni account email governativi negli Stati Uniti falsificando i token di autenticazione di Outlook su Exhange.
Microsoft ha mitigato un attacco da parte di un attore di minacce con sede in Cina che Microsoft rintraccia come Storm-0558 che ha preso di mira le e-mail dei clienti. Storm-0558 si rivolge principalmente alle agenzie governative dell’Europa occidentale e si concentra su spionaggio, furto di dati e accesso alle credenziali. In base alle informazioni segnalate dai clienti il 16 giugno 2023, Microsoft ha avviato un’indagine sull’attività di posta anomala. Nelle settimane successive, la nostra indagine ha rivelato che a partire dal 15 maggio 2023, Storm-0558 ha ottenuto l’accesso agli account e-mail che interessavano circa 25 organizzazioni, tra cui agenzie governative, nonché i relativi account consumer di individui probabilmente associati a queste organizzazioni. Lo hanno fatto utilizzando token di autenticazione contraffatti per accedere alla posta elettronica dell’utente utilizzando una chiave di firma del consumatore dell’account Microsoft (MSA) acquisita. Microsoft ha completato la mitigazione di questo attacco per tutti i clienti.
Come riportano i ricercatori di Cisco invece la falla ADV230001 sarebbe stata invece utilizzata da un altro gruppo di hacker cinesi sfruttando il caricamento dei driver infetti in modalità kernel sfruttando i criteri di Windows, ora protetti da Microsoft.
Talos ha osservato diversi attori delle minacce che sfruttano la suddetta scappatoia dei criteri di Windows per distribuire migliaia di driver firmati dannosi senza inviarli a Microsoft per la verifica. Durante la nostra ricerca abbiamo identificato gli attori delle minacce che sfruttano HookSignTool e FuckCertVerifyTimeValidity, strumenti di contraffazione del timestamp della firma che sono stati pubblicamente disponibili rispettivamente dal 2019 e dal 2018, per distribuire questi driver dannosi. Sebbene abbiano guadagnato una certa popolarità all’interno della comunità di sviluppo di cheat del gioco, abbiamo osservato l’uso di questi strumenti su driver Windows dannosi non correlati ai cheat del gioco.
Cosa ne pensate di questi problemi di vulnerabilità? Ritenete Windows sempre più sicuro? Diteci la vostra nei commenti.
Articolo di Windows Blog Italia