da Hardware Upgrade :
La Cybersecurity and Infrastructure Security Agency statunitense
ha emesso due nuovi avvisi segnalando due vulnerabilit note che gi
sono state attivamente sfruttate, come si dice in questi casi, “in
the wild”.
La prima di esse riguarda lo strumento di diagnostica del supporto di
Windows: tracciata con il codice CVE-2022-34713
e battezzata “DogWalk“, essa permette ad un aggressore di inserire
un eseguibile dannoso nella cartella di avvio di Windows.
Non si tratta di un bug nuovo: la prima segnalazione a Microsoft
avvenuta a gennaio 2020 da parte del ricercatore di sicurezza Imre Rad, ma
il suo resoconto stato respinto poich per errore stato ritenuto non
esplicativo ed esemplificativo di un rischio per la sicurezza.
This is for sure an underrated 0day on Microsoft
Support Diagnostics Tool. To summarize:1) Persistence by startup folder.
2) MOTW bypass.
3) Not flagged by chromium-based file downloaders (Chrome, Edge or
Opera).
4) Defender bypass.All-in-one. Enjoy!https://t.co/lgTnDSxYGM
pic.twitter.com/UyNyEYlH4c
j00sean (@j00sean) June
2, 2022
Il bug tornato per sotto i riflettori di recente, quando il
ricercatore di sicureza j00sean ha pubblicato un video in cui dimostra il
modo in cui un malintenzionato potrebbe sfruttarlo e quale tipo di accesso
potrebbe ottenere. Questo tipo di bug richiede comunque un intervento
attivo dell’utente, un ostacolo che per gli aggressori non per nulla
insormontabile grazie alle tecniche dell’ingegneria sociale. Riconosciuto
finalmente il problema, Microsoft
ha emesso un avviso ufficiale, dove tratteggia alcuni casi
verosimili di sfruttamento e attacco.
Dall’inizio del mese di giugno esiste comunque una patch non ufficiale
emessa dal servizio 0patch che risolve il problema sulla maggior parte
delle versioni di Windows interessate dal problema: Windows 7, Windows 10
e Windows 11, oltre a Windows server nelle versioni da 2008 a 2022.
Microsoft ha ufficialmente risolto il bug all’interno degli aggiornamenti
di sicurezza di agosto 2022.
La seconda vulnerabilit segnalata dal CISA statunitense, tracciata con
il codice CVE-2022-30333
riguarda invece l’utility UnRAR per sistemi Linux e Unix. La
segnalazione arrivata dalla societ SonarSource che alla fine del mese
di giugno ha condiviso un documento spiegando in che modo la vulnerabilit
poteva essere sfruttata per eseguire codice remoto capace di compromettere
un server di posta elettronica Zimbra senza autenticazione.