Nell'ultimo Patch Tuesday di Microsoft per il mese di aprile 2024, il gigante tecnologico ha fatto un grande passo avanti, risolvendo ben 147 vulnerabilità in tutta la sua gamma di prodotti. Tra queste correzioni, i riflettori sono puntati su due vulnerabilità zero-day, CVE-2024-29988 e CVE-2024-26234, che sono state attivamente sfruttate dagli attori delle minacce per distribuire malware.
Questo segna un'impennata significativa negli sforzi di Microsoft per la sicurezza, con il più alto numero di problemi risolti in un singolo aggiornamento almeno dal 2017. Le vulnerabilità riguardano un'ampia gamma di prodotti Microsoft, tra cui Windows, Office, Azure, .NET Framework, SQL Server e altri ancora. In particolare, tre vulnerabilità sono state scoperte attraverso il programma Zero Day Initiative (ZDI), sottolineando l'importanza della collaborazione nella sicurezza informatica. Ecco la descrizione delle due vulnerabilità più gravi:
- CVE-2024-29988 - Vulnerabilità di bypass della funzionalità di sicurezza del prompt di SmartScreen - Un utente malintenzionato può sfruttare questa vulnerabilità di bypass della funzionalità di sicurezza inducendo un utente a lanciare file dannosi utilizzando un'applicazione di avvio che richiede di non mostrare l'interfaccia utente. Un utente malintenzionato potrebbe inviare all'utente preso di mira un file appositamente creato per innescare il problema dell'esecuzione di codice remoto. La falla è attivamente sfruttata, ma Microsoft non l'ha confermato nell'advisory
- CVE-2024-26234 - Vulnerabilità di spoofing del driver proxy - La falla segnalata da Sophos collega un driver dannoso firmato con un certificato Microsoft Hardware Publisher valido. Il driver è stato utilizzato in attacchi selvaggi per implementare una backdoor. Nel dicembre 2023, Sophos X-Ops ha ricevuto una segnalazione di un rilevamento falso positivo su un eseguibile firmato con un certificato Microsoft Hardware Publisher valido. Tuttavia, i ricercatori hanno notato che le informazioni sulla versione del file apparentemente pulito sembravano un po' sospette. Gli aggressori stavano cercando di impersonare l'azienda legittima Thales Group.
Nonostante la gravità delle vulnerabilità zero-day, Microsoft si è mossa rapidamente per contenere la minaccia. Tuttavia, permangono dubbi sull'origine dei file dannosi. Mentre le indagini proseguono, non ci sono prove concrete che suggeriscano il coinvolgimento di sviluppatori LaiXi o di attacchi alla supply chain nel processo di compilazione.
"Dopo aver analizzato i nostri dati interni e i rapporti di VirusTotal, abbiamo scoperto che il file era stato precedentemente fornito in bundle con un file di configurazione per un prodotto chiamato LaiXi Android Screen Mirroring, 'un software di marketing...[che] può connettere centinaia di telefoni cellulari e controllarli in batch, e automatizzare attività come seguire, apprezzare e commentare in batch' ", ha riferito Sophos. "Vale la pena notare che, pur non potendo provare la legittimità del software LaiXi - il repository GitHub non contiene codice al momento in cui scriviamo, ma contiene un link a quello che presumiamo sia il sito web dello sviluppatore - siamo certi che il file che abbiamo analizzato contenga una backdoor dannosa".
Con le minacce informatiche in rapida evoluzione, la posizione proattiva di Microsoft nel patchare le vulnerabilità sottolinea l'importanza fondamentale di aggiornamenti regolari e di solide misure di sicurezza informatica sia per i privati che per le aziende.