Per chiudere bene l’anno, il Patch Tuesday di N-able ci regala le correzioni per due vulnerabilità zero-day e una raccolta di vulnerabilità critiche. Il mese di dicembre 2022 segna anche la fine della manutenzione per Windows 10 21H1 , per cui la gestione dovrebbe essere possibile per la maggior parte delle soluzioni di patching senza perdere troppo tempo. Di conseguenza, gennaio comporterà la fine del supporto per Windows 8.1. Se non hai ancora iniziato quindi, il momento di controllare il tuo ambiente IT è proprio questo, soprattutto per i sistemi Windows 8.1, per cui sarà utile verificare se sia il caso di aggiornarli, sostituirli o rimuoverli completamente.
Vulnerabilità Microsoft
A dicembre 2022 ci sono state solo 49 vulnerabilità totali, circa la metà di quelle che abbiamo visto nei mesi precedenti. Di queste, sei sono classificate come Critiche con le due vulnerabilità zero-day che sono state risolte ed etichettate come “Moderate” o “Importanti”:
- CVE-2022-44698: questa è la vulnerabilità del mese. Una zero-day che consente di scaricare dei file su un dispositivo senza il flag Mark. Il flag è ciò che consente a Windows, alle applicazioni e agli utenti finali di sapere che il file deriva dal Web e che quindi non dovrebbe essere scaricato, in quanto non attendibile per impostazione predefinita.
- CVE-2022-44710: Questa vulnerabilità zero-day è legata all’acquisizione di privilegi più elevati su DirectX, che consente a un utente malintenzionato di ottenere privilegi di SISTEMA. Non è ancora certo che se sfrutti questa vulnerabilità, il rischio che ne conseguirà sarò necessariamente Importante o Moderato. Ciò vuol dire che anche se è una vulnerabilità zero-day, è molto meno minacciosa di CVE-2022-44698.
- CVE-2022-37967: Questa è un’elevazione della vulnerabilità dei privilegi che interessa in particolar modo Windows Kerberos.
- CVE-2022-37967: Se stai gestendo un dominio di Windows, questa è una lettura essenziale, in quanto vi sono mitigazioni manuali che devono essere necessariamente effettuate questo mese.
Priorità delle vulnerabilità
CVE | Descrizione | Gravità |
|---|---|---|
CVE-2022-44698 | Vulnerabilità di bypass della funzionalità di sicurezza di Windows SmartScreen | Moderato |
CVE-2022-44704 | Vulnerabilità relativa all’elevazione dei privilegi di Microsoft Windows Sysmon | Importante |
CVE-2022-44683 |
Vulnerabilità relativa all’acquisizione di privilegi più elevati nel kernel di Windows | Importante |
CVE-2022-44675 |
Vulnerabilità relativa all’acquisizione di privilegi più elevati del driver Bluetooth di Windows | Importante |
CVE-2022-44673 |
Vulnerabilità relativa all’acquisizione di privilegi più elevati del sottosistema runtime di Windows Client Server (CSRSS). | Importante |
CVE-2022-44671 | Vulnerabilità relativa all’acquisizione di privilegi più elevati del componente grafico di Windows | Importante |
CVE-2022-41121 |
Vulnerabilità relativa all’acquisizione di privilegi più elevati del componente grafico di Windows | Importante |
CVE-2022-41079 |
Vulnerabilità legata allo spoofing di Microsoft Exchange Server | Importante |
CVE-2022-41076 | Vulnerabilità legata all’esecuzione di codice in modalità remota di PowerShell | Importante |
CVE-2022-37967 | Vulnerabilità relativa all’acquisizione di privilegi più elevati di Windows Kerberos | Critica |
CVE-2022-41127 | Vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Dynamics NAV e Microsoft Dynamics 365 Business Central (on premise) | Critica |
CVE-2022-44690 | Vulnerabilità legata all’esecuzione di codice in modalità remota di Microsoft SharePoint Server | Critica |
CVE-2022-44693 | Vulnerabilità legata all’esecuzione di codice in modalità remota di Microsoft SharePoint Server | Critica |
CVE-2022-44670 |
Vulnerabilità legata all’esecuzione di codice in modalità remota SSTP (Secure Socket Tunneling Protocol) di Windows | Critica |
Compila il form per avere maggiori informazioni su N-able
Articolo originale: Patch Tuesday December 2022: Mark of the Web zero-day fixed, and guidance on CVE-2022-37967 manual mitigation autore Lewis Pope