Non è la prima volta che ne parliamo, non è la prima volta che accade: le vulnerabilità di sicurezza non invecchiano mai, ovvero l’opportunità di sfruttamento sembrano non finire mai, e non stupisce dunque che i ricercatori abbiano per una volta ancora segnalato l’allarme di sfruttamento di vulnerabilità molto vecchie. 

Questa volta si tratta di vulnerabilità relative ad un server Web non più sviluppato dal lontano 2005 e pertanto parliamo di vulnerabilità “forever day”. Queste vulnerabilità sono un cavallo di battaglia noto nel panorama, in quanto si tratta vulnerabilità appartenenti ad un software sì abbandonato, ma impiantato in differenti dispositivi IoT che lo portano ancora a bordo, procurandosi in questo modo un alto rischio. 

Gruppi hacking cinesi (sponsorizzati dallo Stato: si parla di RedEcho) hanno condotto differenti campagne già in passato (con differenti vettori di attacco), e ora le ripetono, contro operatori del settore energetico indiano e anche altre organizzazioni strategiche, proprio a partire da questa debolezza nel mondo dei dispositivi IoT. Microsoft segnala lo sfruttamento delle vulnerabilità proprio di quel server Web Boa che dicevamo interrotto nel 2005: questo è componente IoT per l’accesso alla console di gestione dei dispositivi e le sue vulnerabilità aumentano in modo significativo il rischio per questi sistemi quando esposti su Internet. 

Operazioni e sicurezza sono da sempre antagonisti. Richiedere maggiore sicurezza implica sempre un qualche costo nelle operazioni. A questa legge non scritta non si sfugge. 

Nell’aggiornamento di novembre, Microsoft ha fatto una scelta che molte altre realtà che maneggiano algoritmi di sicurezza hanno fatto o faranno: abbandonare algoritmi vulnerabili sacrificando la compatibilità con infrastrutture e configurazioni non più compatibili per la più elevata base di riferimento scelta. Certamente è una operazione che probabilmente viene mal digerita da una comunità di utenti abituata alla garanzia di compatibilità a ritroso nel tempo, anche decennale, da parte dei software Microsoft; ma il panorama delle minacce impone pur qualche sacrificio. 

Per risolvere il bypass della sicurezza e la vulnerabilità derivante dall'elevazione di privilegio presente nelle autenticazioni che utilizzino la negoziazione RC4-HMAC (CVE-2022-37966) del DES (Data Encryption Standard), Microsoft si è

Con l’aggiornamento 12.4 per sistema macOS Monterey di maggio (https://support.apple.com/en-us/HT213257), Apple ha messo al sicuro i suoi sistemi da un importante difetto di sicurezza già noto un anno fa e sanato solo con tale aggiornamento. 

Il tempo ora è sufficientemente maturo, se, come auspicabile, tutti gli utenti Apple hanno disposto l’aggiornamento dei loro sistemi, perché si parli pubblicamente del difetto e soprattutto del meccanismo di sfruttamento che ne è alla base, arrivando alla pubblicazione di un PoC del codice di prova per lo sfruttamento. 

Stiamo parlando della vulnerabilità CVE-2022-26696 dell’applicazione Terminal.app, un difetto grave (CVSS 7.8) che consente di aggirare il sistema di sandbox imposto alle applicazioni dal sistema operativo macOS. Apple accredita rispetto alla vulnerabilità i ricercatori Ron Waisberg (già scopritore della vulnerabilità CVE-2021-30677 sul superamento del sandboxing via LaunchServices) e Wojciech Reguła: ed è proprio quest’ultimo a pubblicare dettagli importanti sulla questione, non risparmiando un po’ di polemica sul ritardo. 

Un problema al sandbox era stato già visto e segnalato da Regola infatti nel lontano 2020, problema che forniva la possibilità da parte di una applicazione in sandbox di avviare una applicazione priva dell’eredità

Anche questo mese Microsoft ha lavorato pesantemente per correggere i problemi in tutti i suoi territori, da Azure alle soluzioni on-premise: si contano quasi 40 differenti campi di azioni su cui si è visto l’intervento della casa di Redmond. 

Il risultato è il rilascio di correzioni per problemi di sicurezza (oltre alla correzione di errori funzionali) per ben 62 CVE includenti anche vulnerabilità 0-day già viste sfruttate in natura. 

Di queste CVE, ben 9 risultano di livello critico (per il 14.5%) e 53 di livello alto (per l’85.5%). 

In particolare le tecniche maggiormente sfruttabili per via delle vulnerabilità individuate sono l’Elevazione del privilegio (EoP – Elevation of Privilege) per il 41.9% del totale, seguita dall’Esecuzione di codice Remoto (RCE – Remote Code Execution) per il 24.2% del totale. Non potevano mancare, anche se in misura nettamente minore, tecniche si Denial of Service (DoS – per il 6% del totale), Spoofing (per il 3% del totale) ed evasione di meccanismi si sicurezza (Security Features Bypass, per il 4% del totale). 

Con questa patch dobbiamo finalmente sottolineare l’attenzione e risoluzione a problemi di sicurezza mancanti nella patch del mese precedente, ossia la correzione per le CVE-2022-41040 e CVE-2022-41082 (ProxyNotShell) di cui avevamo già parlato.