Recentemente Apple, Google e Microsoft hanno risolto falle di sicurezza zero-day nei loro prodotti, per il sollievo di utenti e osservatori che da tempo sollevavano preoccupazioni sulla situazione ancora fuori controllo.
Oltre alle contromisure adottate dai tre giganti del digital, abbiamo assistiti di recente a diverse contromisure riguardo la cyber security. Possiamo notare come sia stato da poco rilasciato un importante aggiornamento critico per Firefox. Oltre a questo SolarWinds ha risolto due problemi critici, mentre Oracle ha risolto 433 vulnerabilità e ci sono altri aggiornamenti che dovrebbero essere installati subito.
Apple, Microsoft e Google, tre dei più grandi nomi dell’industria informatica, hanno patchato i principali problemi di sicurezza nel mese di aprile, e molte di queste vulnerabilità erano già state sfruttate in attacchi reali.
Tra le altre aziende che hanno rilasciato correzioni vi sono SolarWinds e Oracle, entrambe specializzate in software aziendali, nonché il browser Firefox, incentrato sulla privacy.
Nell’articolo di oggi andremo ad analizzare tutti questi cambiamenti
Indice dei contenuti
Le contromisure di di sicurezza di Apple per contrastare la falla Zero Day
Apple ha pubblicato l’aggiornamento iOS 16.4.1 così rapidamente dopo il rilascio di iOS 16.4 perché risolve due vulnerabilità che vengono attualmente sfruttate negli attacchi. Apple ha riconosciuto sul proprio sito web di supporto che IOSurfaceAccelerator contiene una falla nota come CVE-2023-28206. Questa falla consente a un’applicazione di eseguire codice con i privilegi del kernel.
Una vulnerabilità nell’esecuzione di codice arbitrario nota come CVE-2023-28205 è presente in WebKit, il motore che gestisce il browser Safari. Questa vulnerabilità potrebbe essere sfruttata da soggetti malintenzionati. In entrambi i casi, l’azienda produttrice dell’iPhone ha rilasciato la stessa dichiarazione:
“Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato attivamente”.
Secondo Paul Ducklin, ricercatore di sicurezza presso la società Sophos, specializzata nella fornitura di servizi di sicurezza informatica, l’accesso a un sito web con trappole potrebbe dare ai truffatori il controllo del browser o di qualsiasi applicazione che utilizzi WebKit per produrre e visualizzare informazioni HTML.
Sia il Threat Analysis Group di Google che il Security Lab di Amnesty International hanno scoperto le due vulnerabilità, che sono state risolte in iOS 16.4.1. Alla luce di queste informazioni, Ducklin ritiene che le debolezze di sicurezza possano essere state sfruttate per installare spyware.
Apple ha anche rilasciato iOS 15.7.5 per i possessori di iPhone precedenti, al fine di correggere le stesse vulnerabilità che sono state sfruttate in precedenza. Mac OS Ventura 13.3.1, Safari 16.4.1, mac OS Monterey 12.6.5 e mac OS Big Sur 11.7.6 sono stati tutti rilasciati in questo periodo dall’azienda produttrice dell’iPhone.
Microsoft interviene sulla falla di sicurezza
Nel mese di aprile, alcune importanti aziende tecnologiche, tra cui Apple, hanno rilasciato aggiornamenti di emergenza per i loro prodotti. Nell’ambito dell’aggiornamento del Patch Tuesday di questo mese, Microsoft ha distribuito anche un rimedio per un problema urgente: il driver del Common Log File System di Windows contiene una falla nota come CVE-2023-28252 che consente l’elevazione dei privilegi. Secondo un avviso pubblicato da Microsoft, un avversario che sfrutti con successo la vulnerabilità potrebbe ottenere i diritti di sistema.
La vulnerabilità CVE-2023-21554 in Microsoft Message Queuing è una debolezza nell’esecuzione di codice in modalità remota che è stata valutata come avente un effetto significativo. Si tratta di un’altra falla che merita attenzione. Secondo Microsoft, un aggressore che volesse sfruttare la vulnerabilità dovrebbe inviare un pacchetto MSMQ dannoso a un server MSMQ. In caso di successo, ciò porterebbe all’esecuzione di codice remoto sul lato server.
È importante controllare l’avviso e implementare l’aggiornamento il prima possibile, perché la riparazione è stata inclusa in un gruppo di patch che affrontano 98 diverse vulnerabilità.
Google Android e la falla Zero Day
Il sistema operativo Android ha ricevuto diverse correzioni da parte di Google, che hanno chiuso una serie di vulnerabilità critiche. Secondo il bollettino di sicurezza Android di Google, la falla più grave è una vulnerabilità di sicurezza significativa che esiste all’interno di un componente del sistema e che può potenzialmente portare all’esecuzione di codice remoto senza la necessità di ulteriori diritti di esecuzione. La cosa può avvenire senza la partecipazione dell’utente.
Il framework presenta dieci problemi che dovevano essere risolti, tra cui otto errori di elevazione dei privilegi e nove problemi aggiuntivi con una valutazione di gravità elevata. Tutti questi problemi sono stati risolti. Google è stata in grado di riparare sedici punti deboli all’interno del sistema, tra cui due grandi vulnerabilità RCE e altri problemi all’interno del kernel e dei componenti del SoC.
Questa versione include anche numerose modifiche specifiche per i Pixel, una delle quali è una debolezza nel kernel che consente l’elevazione dei privilegi ed è elencata come CVE-2023-0266. La patch di aprile di Android è ora disponibile per il download su tutti i dispositivi compatibili, compresi quelli prodotti da Google e Samsung, come la serie Galaxy S, la serie Fold e la serie Flip.
Chrome di Google
All’inizio di aprile Google ha rilasciato una patch per correggere sedici vulnerabilità del suo popolare browser Chrome, alcune delle quali considerate significative.
Le vulnerabilità che sono state corrette sono CVE-2023-1810, un problema di heap buffer overflow in Visuals, e CVE-2023-1811, una vulnerabilità use-after-free in Frames. Entrambe le debolezze sono state valutate come aventi un effetto elevato. L’impatto delle restanti 14 falle di sicurezza è stato classificato come di media o bassa gravità.
A metà mese, Google è stata costretta a fornire un aggiornamento di emergenza per correggere un totale di due vulnerabilità, una delle quali era già stata sfruttata in attacchi reali. Il motore JavaScript V8 contiene una debolezza nota come CVE-2023-2033, che è una falla di confusione. “Google è consapevole dell’esistenza di un exploit per CVE-2023-2033”, ha annunciato il gigante del software sul suo blog. “Pochi giorni dopo, Google ha rilasciato un’altra patch che corregge una serie di vulnerabilità, una delle quali è una vulnerabilità zero-day registrata come CVE-2023-2136, una falla di tipo integer overflow nel motore grafico Skia.
Gli utenti di Chrome dovrebbero assicurarsi che la versione attualmente installata sia la più recente, data la quantità e la gravità dei problemi.
Mozilla Firefox
Il famoso browser open-source Firefox, concorrente di Chrome, ha risolto una serie di bug nelle sue ultime versioni, Firefox 112, Firefox for Android 112 e Focus for Android 112. CVE-2023-29531 è una delle vulnerabilità e si tratta di un accesso alla memoria non vincolato in WebGL che viene eseguito su macOS. Si ritiene che abbia un effetto significativo. Nel frattempo, CVE-2023-29532 è una falla che riguarda Windows e richiede l’accesso al sistema locale per essere sfruttata.
Mozilla, la società proprietaria di Firefox, ha segnalato in un avviso che CVE-2023-1999 è una falla double-free in libwebp. Questa falla può potenzialmente causare la corruzione della memoria e un crash che potrebbe essere sfruttato.
Inoltre, Mozilla ha risolto due difetti di sicurezza della memoria, CVE-2023-29550 e CVE-2023-29551. “Alcuni di questi bug mostravano segni di corruzione della memoria”, ha dichiarato il produttore del browser, “e presumiamo che, con uno sforzo sufficiente, alcuni di essi avrebbero potuto essere sfruttati per eseguire codice arbitrario”. “Alcuni di questi bug potrebbero essere stati sfruttati per eseguire codice arbitrario”, ha dichiarato il produttore.
Le mosse di SolarWinds per risolvere le falle di sicurezza
L’azienda informatica SolarWinds ha rilasciato una correzione per due vulnerabilità della sua piattaforma, considerate di gravità elevata. Queste vulnerabilità potrebbero portare all’esecuzione di comandi e all’escalation dei privilegi. Secondo un avviso di sicurezza pubblicato da SolarWinds, il primo problema è una falla di command-injection nel software di monitoraggio e gestione dell’infrastruttura dell’azienda. Questa falla è identificata con il codice CVE-2022-36963. Se questa falla venisse sfruttata, un utente remoto potrebbe eseguire istruzioni arbitrarie se disponesse di un account amministratore valido per la piattaforma SolarWinds.
CVE-2022-47505, una vulnerabilità locale di escalation dei privilegi, è un altro problema di elevata gravità. Questa vulnerabilità consente a un avversario locale in possesso di un account utente legittimo del sistema di aumentare i propri diritti all’interno del sistema.
La patch più recente di SolarWinds risolve una serie di problemi aggiuntivi che sono classificati come di medio effetto. Sebbene nessuno di questi sia stato utilizzato in attacchi, è comunque importante aggiornare il prima possibile se le vulnerabilità potrebbero interessare il vostro sistema.
Oracle
Oracle, un’azienda che produce software aziendale, ha avuto un mese di aprile molto produttivo. L’azienda ha fornito soluzioni per 433 vulnerabilità, 70 delle quali sono state valutate di gravità critica. Tra queste vi sono le vulnerabilità individuate nella matrice di rischio di Oracle GoldenGate, come CVE-2022-23457, che ha un punteggio di base CVSS di 9,8. Oracle ha dichiarato nel suo avviso che la vulnerabilità può essere sfruttata da remoto senza bisogno di autenticazione.
Inoltre, tra le correzioni di aprile sono state incluse sei patch aggiuntive per Oracle Commerce. Oracle ha avvertito che “tutte queste vulnerabilità potrebbero essere sfruttate da remoto e senza autenticazione”.
Oracle “raccomanda vivamente” ai clienti di distribuire le patch di sicurezza incluse nel Critical Patch Update il prima possibile, a causa del rischio che comporta un attacco riuscito.
Cisco
La società di software Cisco ha distribuito delle correzioni per le vulnerabilità. Queste vulnerabilità potrebbero consentire a un aggressore locale autorizzato di acquisire capacità di root sul sistema operativo sottostante e di uscire dalla shell riservata.
Una vulnerabilità nota come CVE-2023-20121 è presente in Cisco EPNM, Cisco ISE e Cisco Prime Infrastructure. Questa vulnerabilità è una falla di command-injection. Un avversario potrebbe sfruttare la vulnerabilità accedendo al dispositivo ed eseguendo un comando appositamente progettato utilizzando l’interfaccia a riga di comando (CLI).
“Un exploit riuscito potrebbe consentire all’aggressore di uscire dalla shell ristretta e ottenere i privilegi di root sul sistema operativo sottostante del dispositivo interessato”, ha dichiarato Cisco, aggiungendo che l’aggressore deve essere un utente autenticato della shell per poter sfruttare il problema. “Un exploit riuscito potrebbe consentire all’aggressore di ottenere i privilegi di root sul sistema operativo sottostante del dispositivo interessato”, ha aggiunto Cisco.
Nel frattempo, CVE-2023-20122 è una vulnerabilità di command-injection presente nella shell ristretta di Cisco ISE. Questa vulnerabilità potrebbe consentire a un aggressore locale autenticato di ottenere l’accesso root al sistema operativo sottostante e di uscire dalla shell riservata.
SAP
È passato un altro Patch Day frenetico per SAP, che ha portato alla pubblicazione di 19 nuove Note sulla sicurezza. Uno dei problemi risolti è noto come CVE-2023-27497, che riguarda SAP Diagnostics Agent e presenta numerose falle.
Un’altra importante correzione è CVE-2023-28765, che risolve una vulnerabilità in SAP BusinessObjects Business Intelligence Platform che potrebbe consentire la divulgazione di informazioni. Secondo le scoperte della società di sicurezza Onapsis, un utente malintenzionato può accedere al file lcmbiar poiché l’applicazione di una password di protezione mancante glielo consente.
Secondo la spiegazione fornita dalla società, “dopo aver decifrato con successo il suo contenuto, l’aggressore potrebbe ottenere l’accesso alle password dell’utente”. Un aggressore potrebbe essere in grado di compromettere completamente la disponibilità, l’integrità e la segretezza del sistema, a seconda delle autorizzazioni dell’utente che ha impersonato.
