Microsoft Risolve Sei Vulnerabilità Zero-Day di Windows Attivamente Sfruttate

Microsoft martedì ha rilasciato il Patch Tuesday di agosto 2024, che include aggiornamenti di sicurezza per 90 vulnerabilità in Windows e nei componenti del sistema operativo, comprese sei vulnerabilità zero-day attivamente sfruttate e quattro divulgate pubblicamente.

“Anche se non si tratta del rilascio più grande, è insolito vedere così tanti bug elencati come pubblici o sotto attacco attivo in un singolo rilascio,” hanno scritto i ricercatori del programma Zero Day Initiative (ZDI) di Trend Micro in un’analisi.

Di seguito sono riportati i dettagli sulle sei vulnerabilità zero-day attivamente sfruttate che sono state corrette in agosto 2024 nel Patch Tuesday:

CVE-2024-38178: Vulnerabilità di Corruzione della Memoria del Motore di Scripting ( CVSS 7.5/10)

Questa zero-day, segnalata da Ahn Lab e dal Centro Nazionale per la Sicurezza Informatica della Corea del Sud (NCSC), è una vulnerabilità di corruzione della memoria nel Motore di Scripting di Windows che può comportare l’esecuzione di codice remoto (RCE). L’attacco richiede che un client autenticato venga ingannato a cliccare su un link affinché un attaccante non autenticato possa avviare l’esecuzione di codice remoto.

Secondo Microsoft, questa vulnerabilità può essere sfruttata con successo solo se l’obiettivo utilizza Edge in modalità Internet Explorer (IE). L’attaccante dovrebbe quindi compromettere l’utente facendogli cliccare su un URL appositamente creato.

CVE-2024-38189 — Vulnerabilità di Esecuzione di Codice Remoto di Microsoft Project (CVSS 8.8/10)

Questa vulnerabilità è un difetto di esecuzione di codice remoto in Microsoft Project, che viene sfruttato in natura tramite file creati in modo malevolo.

“Lo sfruttamento richiede che la vittima apra un file di progetto Microsoft Office malevolo su un sistema dove è disabilitata la politica di blocco delle macro nei file di Office provenienti da Internet e le impostazioni di notifica delle macro VBA non sono abilitate, consentendo all’attaccante di eseguire codice remoto,” spiega l’avviso.

Microsoft non ha rivelato chi ha scoperto la vulnerabilità sopra menzionata o come è stata sfruttata in natura.

CVE-2024-38107 — Vulnerabilità di Elevazione dei Privilegi del Coordinatore di Dipendenza di Windows Power (CVSS 7.8/10)

Questo è un difetto di elevazione dei privilegi nel Coordinatore di Dipendenza di Windows Power. Se un attaccante sfrutta con successo questa vulnerabilità, potrebbe ottenere privilegi a livello di SYSTEM su una macchina bersaglio. Microsoft non ha fornito dettagli su chi ha divulgato il difetto.

CVE-2024-38106 – Vulnerabilità di Elevazione dei Privilegi del Kernel di Windows (CVSS 7.0/10)

Questa zero-day, che esisteva nel Kernel di Windows, è stata segnalata in modo anonimo a Microsoft.

“Lo sfruttamento riuscito di questa vulnerabilità richiede che un attaccante vinca una condizione di gara,” spiega l’avviso di Microsoft. “Un attaccante che sfrutta con successo questa vulnerabilità potrebbe ottenere privilegi di SYSTEM.”

CVE-2024-38213 — Vulnerabilità di Bypass della Funzione di Sicurezza del Marchio del Web di Windows (CVSS 6.5/10)

Questo difetto consente agli attaccanti di bypassare la funzione di sicurezza del Marchio del Web (MoTW) di Windows. Per sfruttare con successo questa vulnerabilità, un attaccante deve inviare all’utente un file malevolo e convincerlo ad aprirlo in modo da poter bypassare l’esperienza utente di SmartScreen.

CVE-2024-38193 – Vulnerabilità di Elevazione dei Privilegi del Driver di Funzione Accessoria di Windows per WinSock (CVSS: 7.8/10)**

Questa vulnerabilità, scoperta da Luigino Camastra e Milánek con Gen Digital, consente agli attaccanti di ottenere privilegi di SYSTEM sui sistemi Windows.

Per informazioni dettagliate sulle quattro vulnerabilità zero-day divulgate pubblicamente, puoi cliccare qui.

Microsoft ha raccomandato agli utenti di Windows e agli amministratori di sistema di dare priorità all’aggiornamento dei propri sistemi, che li rende vulnerabili a attacchi di esecuzione di codice remoto, elevazione dei privilegi e bypass delle funzioni di sicurezza.