Nell’ultimo ciclo di aggiornamenti di sicurezza inclusi nel Patch Tuesday di aprile 2024, Microsoft ha messo in campo misure correttive per 150 vulnerabilità, di cui due sono state attivamente sfruttate “in the wild” (e, quindi, classificate come zero-day).

Tre di queste vulnerabilità sono state classificate come critiche, 143 come importanti, tre come moderate e una di bassa gravità.

Tra le vulnerabilità più preoccupanti figurano la CVE-2024-26234, una vulnerabilità di spoofing del Proxy Driver, e la CVE-2024-29988, che consente di bypassare la funzionalità di sicurezza SmartScreen Prompt.

Di seguito, le differenti tipologie di vulnerabilità corrette questo mese:

• 31 Elevation of Privilege
• 13 Information Disclosure
• 3 Spoofing
• 29 Security Feature Bypass
• 7 Denial of Service
• 67 Remote Code Execution

Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, l’impatto delle vulnerabilità è alto/arancione (65,38/100).

Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.

I dettagli delle due vulnerabilità zero-day

Tra le vulnerabilità corrette in occasione del Patch Tuesday del mese di aprile 2024, la CVE-2024-26234 ha catturato l’attenzione della comunità tecnologica per essere stata attivamente sfruttata in rete.

Questo bug, una vulnerabilità di spoofing del driver proxy in Windows, è stato scoperto da Christopher Budd di Sophos e valutato con un punteggio di 6.7 su 10 nella scala di gravità CVSS. Inizialmente considerato non sfruttato, il suo status è stato successivamente aggiornato a “sfruttato” dopo il rilascio degli aggiornamenti mensili.

Nel suo resoconto dell’analisi effettuata sulla vulnerabilità, il ricercatore ha rivelato che un eseguibile apparentemente innocuo (“Catalog.exe” o “Catalog Authentication Client Service”), firmato digitalmente con un valido certificato Windows Hardware Compatibility Publisher (WHCP), conteneva in realtà una backdoor.

Questa backdoor, sfruttando un server proxy integrato chiamato 3proxy, era in grado di monitorare e intercettare il traffico di rete su un dispositivo Windows infetto. Gli aggressori sono riusciti a firmare il programma con il certificato dell’editore, rendendolo così attendibile per il sistema operativo, per poi distribuirlo insieme a software malevoli.

Microsoft ha prontamente revocato il certificato, mitigando di fatto il rischio di un eventuale sfruttamento di questa vulnerabilità.

L’altra vulnerabilità che risultava essere già sotto attacco prima dell’emissione della patch da parte di Microsoft è la CVE-2024-29988: si tratta di un bug che consente il bypass della funzionalità di sicurezza SmartScreen di Windows, progettata per allertare gli utenti di siti web non affidabili o altre minacce.

È bene sottolineare che, per riuscire a eludere questa protezione, l’attaccante deve ingannare l’utente affinché esegua file dannosi: ciò può avvenire utilizzando e-mail di phishing o messaggi contenenti link verso siti web controllati dall’attaccante stesso o mediante allegati malevoli.

La vulnerabilità ha, quindi, ricevuto un punteggio di gravità CVSS di 8.8 su 10.

Da segnalare, inoltre, che questa vulnerabilità CVE-2024-29988 è correlata alla CVE-2024-21412, affrontata per la prima volta in occasione del Patch Tuesday del mese di febbraio 2024.

Evidentemente la prima patch non ha risolto completamente la vulnerabilità e questo nuovo aggiornamento ha consentito di risolvere la seconda parte della catena di exploit.

Come si legge nel relativo bollettino di sicurezza della CVE-2024-29988, il gruppo di hacker Water Hydra, motivato finanziariamente, che sta sfruttando questa vulnerabilità ha anche utilizzato la CVE-2024-21412 come zero-day la notte di Capodanno per colpire i forum di trading forex e i canali Telegram di trading azionario in attacchi di spearphishing che hanno utilizzato il trojan di accesso remoto (RAT) DarkMe.

A sua volta, la CVE-2024-21412 era un bypass per un’altra vulnerabilità di Defender SmartScreen, identificata come CVE-2023-36025, corretta in occasione del Patch Tuesday di novembre 2023 e sfruttata come zero-day per lanciare il malware Phemedrone.

Installiamo gli aggiornamenti Microsoft

L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le altre versioni recenti di Windows è invece opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni. Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.