Vulnerabilità di Windows sfruttata attivamente

È ora di aggiornare Windows! Microsoft ha rilasciato le patch per diverse decine di vulnerabilità, una delle quali viene già attivamente sfruttata dai cybercriminali.

Nell’ultimo Patch Tuesday (10 maggio) Microsoft ha rilasciato aggiornamenti per 74 vulnerabilità. Gli hacker stanno già attivamente sfruttando almeno una di queste vulnerabilità; pertanto, è importante installare le patch il prima possibile.

CVE-2022-26925, la vulnerabilità più pericolosa tra quelle trattate

A quanto pare, la vulnerabilità più pericolosa a cui fa riferimento questo pacchetto di aggiornamenti è la CVE-2022-26925, contemplata dall’autorità di sicurezza locale di Windows. Tuttavia, la vulnerabilità ottiene un punteggio di 8,1 nella scala CVSS, il che è un indice relativamente basso. Però i rappresentanti di Microsoft ritengono che quando questa vulnerabilità viene utilizzata negli attacchi NTLM Relay nei confronti dei servizi certificati di Active Directory, il livello di gravità di questo bundle sale a 9,8 (scala CVSS). Il motivo dell’aumento del livello di gravità è che in queste circostanze, CVE-2022-26925 potrebbe consentire a un hacker di autenticarsi su un domain controller.

La vulnerabilità può interessare tutti i sistemi operativi Windows da Windows 7 (Windows Server 2008 per i sistemi server) in avanti. Microsoft non è entrata nei dettagli e non ha specificato come sia possibile sfruttare questa vulnerabilità; tuttavia, a giudicare dalla descrizione del problema, alcuni cybercriminali sconosciuti stanno già utilizzando attivamente gli exploit per CVE-2022-26925. La buona notizia è che, secondo gli esperti, sfruttare questa vulnerabilità in attacchi reali è piuttosto difficile.

La correzione rileva e blocca i tentativi di connessione anonima al Remote Protocol dell’autorità di sicurezza locale. Tuttavia, secondo le FAQ ufficiali, l’installazione di questo aggiornamento su Windows Server 2008 SP2 potrebbe influire sul software di backup.

Altre vulnerabilità

Oltre a CVE-2022-26925, l’ultimo aggiornamento corregge altre vulnerabilità con un livello di gravità “critico”. Tra queste vi sono la vulnerabilità RCE CVE-2022-26937 nel Network File System (NFS) di Windows, nonché CVE-2022-22012 e CVE-2022-29130, due vulnerabilità RCE che interessano il servizio LDAP.

Altre due vulnerabilità erano già note al pubblico al momento della pubblicazione delle patch. La prima è CVE-2022-29972, un bug che colpisce il driver Magnitude Simba Amazon Redshift di Insight Software; mentre la seconda è CVE-2022-22713, una vulnerabilità DoS che interessa Hyper-V di Windows. Tuttavia, ad oggi, non sono stati rilevati tentativi di sfruttamento.

Come proteggersi

Innanzitutto, installate gli ultimi aggiornamenti di Microsoft. Se per qualche motivo, nel vostro ambiente non è possibile, consultate la sezione FAQ e le soluzioni e mitigazioni dei rischi nella guida ufficiale agli aggiornamenti di sicurezza di Microsoft (data maggio 2022). Sicuramente, potrete utilizzare uno dei metodi descritti in precedenza e proteggere così la vostra infrastruttura dalle vulnerabilità più rilevanti.

Noi vi consigliamo di proteggere ogni dispositivo connesso a Internet con una soluzione affidabile in grado di rilevare lo sfruttamento di vulnerabilità sconosciute.

Consigli