Microsoft ci ha ormai abituato, con il suo “patch Tuesday” (il secondo martedì di ogni mese, giorno in cui l’azienda pubblica i suoi aggiornamenti per la sicurezza), a mantenere un ruolino di marcia abbastanza prevedibile per quanto riguarda le sue patch di sicurezza. Motivo per cui ogni evento “fuori sincrono” è sempre degno di maggiore attenzione.
È questo quanto successo in questi ultimi giorni, con il rollout di due aggiornamenti non previsti da parte del gigante di Seattle per rimediare a due vulnerabilità critiche che andavano a impattare Windows 8.1 e Windows Server 2012.
Si tratta di due bug di elevation of privilege (EoP).
Entrambe le vulnerabilità sono presenti in un servizio chiamato Windows Remote Access, che fornisce funzionalità di accesso remoto alle applicazioni client su computer che adoperano il sistema operativo in questione.
Da notare che entrambe le criticità sono state originariamente scoperte lo scorso 11 agosto, durante gli aggiornamenti del Patch Tuesday regolarmente programmati da Microsoft, dove il gigante della tecnologia ha patchato complessivamente 120 vulnerabilità.
Durante questi aggiornamenti, le correzioni per i due difetti sono state pubblicate per Windows 10, Windows 7, Windows Server 2008, 2012, 2016 e 2019; così come Windows Server (versioni 1903, 1909 e 2004).
Queste patch “fuori sincrono” hanno semplicemente le vulnerabilità di Windows 8.1 e Windows Server 2012, che inizialmente non erano state rilevate.
Puntualmente l’azienda fondata da Bill Gates ha rilasciato una nota a commento di questa release: “Microsoft annuncia la disponibilità dell’aggiornamento di sicurezza 4578013 per tutte le versioni supportate di Microsoft 8.1 e Windows Server 2012 R2. I clienti che utilizzano Windows 8.1 o Server 2012 R2 dovrebbero installare l’aggiornamento per proteggere il loro prodotto da questa vulnerabilità. I clienti che eseguono altre versioni di Microsoft Windows o Windows Server non devono intraprendere alcuna azione”.
Le vulnerabilità in dettaglio
La prima vulnerabilità (CVE-2020-1530) – scoperta da Symeon Paraschoudis di Pen Test Partners – deriva dalla gestione impropria della memoria da parte del Windows Remote Access. Per sfruttare questa vulnerabilità, un aggressore dovrebbe prima di tutto avere la possibilità di eseguire il codice sul sistema bersaglio. Se in grado di fare questo, quindi, potrebbe eseguire un’applicazione appositamente creata per fare escalation di privilegi all’interno del sistema bersaglio.
La vulnerabilità ha un punteggio CVSS di 7,8 su 10.
Fortunatamente al momento non è stato osservato alcun tentativo di exploit della vulnerabilità “in natura”, cosa che Microsoft stessa ha affermato essere dovuta alla difficolta per gli aggressori di riuscire a eseguire il codice maligno sulla macchina bersaglio (prerequisito fondamentale).
La seconda vulnerabilità di Elevation of Privilege (CVE-2020-1537), segnalata in forma anonima questa volta, deriva dall’errata gestione dei file del servizio di Windows Remote Access.
Secondo Microsoft, anche in questo caso, “per sfruttare la vulnerabilità un aggressore avrebbe bisogno prima di tutto di eseguire codice maligno su un sistema bersaglio. Fatto questo potrebbe poi eseguire un’applicazione appositamente realizzata”.
Un criminal hacker che ipoteticamente riesce a sfruttare con successo questa lacuna potrebbe ottenere privilegi elevati all’interno del sistema bersaglio.
L’aggiornamento della sicurezza di Windows affronta la vulnerabilità garantendo che il servizio Windows Remote Access gestisca correttamente le operazioni sui file.
Come per il primo caso, anche questo bug aveva un punteggio CVSS di 7,8 su 10, ma analogamente non è stato sfruttato (a quanto sembra).
Elevation of privilege, la fase più critica di un attacco
Al di là delle due casistiche segnalate e patchate da Microsoft, cosa rende l’elevation (a volte chiamato anche escalation) of privilege così temibile?
L’EoP è l’anello più critico della catena di cyber attack, in quanto può consentire a un aggressore di compiere diversi passi, tra cui l’acquisizione della persistenza nella rete bersaglio, la costruzione di ulteriori backdoor e, da ultimo, l’accesso alle risorse critiche. Una volta che gli aggressori avranno ottenuto l’accesso iniziale alla rete, utilizzeranno una varietà di tecniche per aumentare i loro privilegi al fine di ottenere permessi di livello superiore e avviare la fase di lateral movement.
Secondo uno studio condotto dal Ponemon Institute, nel 2019 il 60% delle violazioni dei dati ha riguardato vulnerabilità non corrette; tuttavia, per l’aggressore la vulnerabilità stessa rappresenta solo una “porta aperta” che gli consente di acquisire quel punto d’appoggio iniziale.
Per un criminal hacker portare a termine un EoP significa spesso avere accesso alla possibilità di iniziare la fase di lateral movement. Si tratta di una tattica – come detto, spesso interconnessa con l’escalation of privilege – progettata per consentire agli aggressori di entrare e controllare i sistemi nella rete bersaglio con l’obiettivo di diffondere un attacco o di facilitare la persistenza a lungo termine.
I criminal hacker utilizzano il lateral movement per progredire dal “punto d’ingresso” originale nella rete per trovare informazioni preziose, ottenere l’accesso a sistemi critici per il business o eseguire un attacco.
Lo sfruttamento dell’accesso privilegiato è il modo per facilitare questo compito: aumentando i privilegi, gli aggressori possono spostarsi in modo efficace da un luogo all’altro, anche dagli ambienti on-premise verso (e attraverso) gli ambienti cloud e viceversa.
Per difendersi, la gestione degli accessi privilegiati è uno dei modi più efficaci per fermare il movimento laterale, mettendo in sicurezza i punti di accesso di cui gli aggressori hanno bisogno per muoversi attraverso una rete, contribuendo così a bloccare la progressione di un attacco.
Ma anche l’adozione di best practice come il principio del privilegio minimo, che prevede che a ogni utente sia assegnato il livello minimo di accesso richiesto per svolgere le proprie mansioni, sono assolutamente step fondamentali per limitare l’efficacia di questi attacchi.
L’applicazione del principio dei privilegi minimi consente alle organizzazioni di ridurre la superficie di attacco e mitigare i rischi portati da insider threats o cyber-attacchi esterni che possono causare violazioni dei dati estremamente dannose.
Non va dimenticato il risk assessment
Ovviamente queste misure devono essere unite a un’approfondita attività di risk assessment: compresi vulnerability assessment, penetration test e network scan.
Patch Tuesday o no, non dimentichiamo gli aggiornamenti.
Queste correzioni last minute di Microsoft arrivano una settimana dopo la pubblicazione da parte della casa di Seattle di patch per vulnerabilità attivamente sfruttate con exploit; il tutto nell’ambito degli aggiornamenti Patch Tuesday: una di queste (CVE-2020-1464), un bug di Windows-spoofing legato alla validazione delle firme dei file, permetteva a un criminal hacker di “aggirare le caratteristiche di sicurezza volte a impedire il caricamento di file firmati in modo improprio”.
La seconda (CVE-2020-1380), un bug di esecuzione remota del codice, era legato al browser web Internet Explorer. Un attacco di successo conferiva all’aggressore gli stessi diritti dell’utente attuale.
Insomma, in sole due settimane Windows ha patchato oltre 120 falle di sicurezza per i suoi prodotti.
Riprova inequivocabile di come non dobbiamo mai e poi mai tralasciare il compito di aggiornare i nostri sistemi alle ultime versioni disponibili.
