Come ogni secondo martedì del mese, Microsoft ha rilasciato il Patch Tuesday di febbraio 2024 per correggere 73 vulnerabilità nei suoi sistemi operativi Windows e in altri software: tra queste anche due zero-day già attivamente sfruttate in attacchi in rete.
La più grave di queste è stata identificata in Windows Defender e risulta essere sotto attacco da parte della cyber gang Water Hydra (conosciuta anche come DarkCasino).
Delle 73 vulnerabilità del nuovo pacchetto cumulativo di aggiornamenti di questo mese, 5 sono state classificate come critiche, 65 come importanti e 3 come moderate.
Di seguito, le differenti tipologie di vulnerabilità corrette questo mese:
- 16 di elevazione dei privilegi (EoP, Elevation of Privilege);
- 3 consentono il bypass delle funzioni di sicurezza;
- 30 di esecuzione di codice remoto (RCE, Remote Code Execution);
- 5 di divulgazione delle informazioni;
- 9 di tipo DoS (negazione del servizio);
- 10 di spoofing.
Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.
La vulnerabilità zero-day in Windows Defender
La vulnerabilità più grave corretta con un aggiornamento contenuto nel Patch Tuesday di febbraio 2024 è stata tracciata come CVE-2024-21412 (con un punteggio CVSS di 8.1 su 10) ed è stata identificata in Windows Defender.
Trasforma i documenti digitali in alleati del business: ottieni più efficienza, sicurezza e conformi
Secondo le informazioni pubblicate da Microsoft nel relativo bollettino di sicurezza, l’exploit risulta essere attivamente sfruttato in natura da Water Hydra (o anche DarkCasino), un gruppo di minacce finanziariamente motivato, per distribuire il trojan di accesso remoto (RAT) DarkMe sui sistemi delle vittime designate mediante tattiche di social engineering.
In particolare, un aggressore non autenticato potrebbe inviare all’utente target un file appositamente creato per aggirare i controlli di sicurezza SmartScreen di Windows.
In realtà, per lo sfruttamento della vulnerabilità è richiesta un’interazione da parte della vittima. Infatti, l’aggressore non ha modo di costringere l’utente a visualizzare il contenuto del file, ma dovrebbe convincerlo a cliccare sul collegamento al file. Per questo motivo, alla CVE è stato assegnato un indice di gravità importante e non critico.
A quanto risulta dalle analisi effettuate, la vulnerabilità zero-day è stata utilizzata dal gruppo criminale Water Hydra in attacchi mirati contro forum di trading forex e canali Telegram di trading azionario mediante tecniche di spear phishing con l’utilizzo di messaggi in inglese e russo che chiedevano o offrivano indicazioni per il trading e la diffusione di strumenti azionari e finanziari contraffatti relativi a strumenti di analisi tecnica e indicatori grafici.
Il file appositamente creato per indurre le vittime a cliccarci sopra era un grafico azionario che rimandava a un sito di informazioni di trading compromesso dalla Russia (fxbulls[.]ru) e spacciato per una piattaforma di broker forex (fxbulls[.]com).
L’obiettivo dei cyber criminali sarebbe stato quello di rubare dati sensibili o distribuire ransomware in una fase successiva dell’attacco.
Le tattiche utilizzate includono la pubblicazione di messaggi in inglese e russo che chiedono o offrono indicazioni per il trading e la diffusione di strumenti azionari e finanziari contraffatti relativi a strumenti di analisi tecnica e indicatori grafici.
Secondo quanto rivelato da Peter Girnus, il ricercatore di sicurezza di Trend Micro a cui va il merito di aver segnalato questa nuova vulnerabilità zero-day, la CVE-2024-21412 sarebbe servita agli attori della minaccia per aggirare un’altra vulnerabilità di Defender SmartScreen tracciata come CVE-2023-36025 e già corretta in occasione del Patch Tuesday di novembre 2023.
The Patch Report - CVE-2023-21412 Special Edition
Guarda questo video su YouTube
I dettagli della seconda vulnerabilità zero-day
Come dicevamo, in occasione del Patch Tuesday di febbraio 2024 è stata corretta anche una seconda vulnerabilità zero-day. Tracciata come CVE-2024-21351 (con un punteggio CVSS di 7.6 su 10) e scoperta dal ricercatore Microsoft Eric Lawrence, consente come la precedente di bypassare i sistemi di sicurezza di Windows SmartScreen.
Anche in questo caso, per lo sfruttamento un aggressore autorizzato deve inviare all’utente un file dannoso e convincerlo ad aprirlo.
Al momento, però, non sono stati forniti ulteriori dettagli tecnici sugli attacchi o sull’attore della minaccia che ha sfruttato l’exploit della vulnerabilità.
Le cinque vulnerabilità critiche
Il Patch Tuesday di febbraio 2024 corregge anche 5 vulnerabilità classificate con un indice di gravità critico. Nel dettaglio:
- CVE-2024-20684: si tratta di una vulnerabilità di tipo Denial of Service (DoS) in Windows Hyper-V. È stata classificata con un punteggio CVSS di 6,5 su 10.
- CVE-2024-21357: vulnerabilità di tipo RCE (Remote Code Execution, esecuzione di codice in modalità remota) identificata in Windows Pragmatic General Multicast (PGM). È stata classificata con un punteggio CVSS di 6,5 su 10.
- CVE-2024-21380: vulnerabilità di tipo Information Disclosure (divulgazione di informazioni) identificata in Microsoft Dynamics Business Central/NAV. È stata classificata con un punteggio CVSS di 8.0 su 10.
- CVE-2024-21410: vulnerabilità di tipo EoP (Elevation of Privilege, elevazione dei privilegi) identificata in Microsoft Exchange Server. È stata classificata con un punteggio CVSS di 9,8 su 10.
- CVE-2024-21413: un’altra vulnerabilità di tipo RCE in Microsoft Outlook. È stata classificata con un punteggio CVSS di 9,8 su 10.
Installiamo gli aggiornamenti Microsoft
Alla luce delle vulnerabilità corrette dal Patch Tuesday di questo mese è importante procedere quanto prima all’aggiornamento dei sistemi per non esporli a un elevato rischio di attacco informatico.
Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.
Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.
In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.
In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.
Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.
La guida completa per la gestione dei dati di impianto in sicurezza grazie a un sistema OT/IIoT
@RIPRODUZIONE RISERVATA