Questo avviso di Microsoft Windows ha un impatto su più di un miliardo di utenti
Con le immagini di innumerevoli schermate blu che ancora infestano i titoli dei giornali, è fin troppo facile dimenticare che, mentre l’interruzione di Windows di luglio è stata causata da Sciopero della folla piuttosto che Microsoft, ci sono stati effettivo Anche le minacce di Windows segnalate questo mese da cui è necessario proteggersi immediatamente. Molti milioni di PC rimangono a rischio.
All’inizio di questo mese, prima che le schermate blu della morte diventassero di tendenza, entrambi Punto di controllo E Micro di tendenza ha informato che gli utenti di Windows 10 e 11 sono ora a rischio a causa di una minaccia “in precedenza sconosciuta” che risveglia abilmente il codice di Internet Explorer nascosto sotto le coperture di centinaia di milioni di PC, sfruttando le falle di sicurezza ampiamente visibili.
Come punto di controllo avvertito il 9 luglio, “gli aggressori stanno utilizzando speciali file di collegamento Internet di Windows che, quando vengono cliccati, richiamano il vecchio Internet Explorer (IE) per visitare l’URL controllato dall’aggressore… Aprendo l’URL con IE invece che con il moderno e molto più sicuro browser Chrome/Edge su Windows, l’aggressore ha ottenuto vantaggi significativi nello sfruttare il computer della vittima, sebbene il computer esegua il moderno sistema operativo Windows 10/11”.
Poi, solo pochi giorni dopo, Trend Micro ha aumentato il livello di minaccia, avvertimento che la vulnerabilità “è stata utilizzata come zero-day per accedere ed eseguire file tramite Internet Explorer disabilitato utilizzando MSHTML… infettare[ing] macchine vittime con il ladro di informazioni Atlantida, che si concentra sul furto di informazioni di sistema e dati sensibili (come password e cookie) da varie applicazioni.”
Dopo la divulgazione da parte di Check Point, il governo degli Stati Uniti ha aggiunto la vulnerabilità al suo Vulnerabilità nota di exploit catalogo, avvisando gli utenti che Windows presenta “una vulnerabilità di spoofing che ha un impatto elevato sulla riservatezza, l’integrità e la disponibilità”.
La vulnerabilità è stata corretta, gli utenti devono solo assicurarsi che i PC Windows siano aggiornati. Il mandato di CISA significa che i dipendenti federali degli Stati Uniti devono applicare quell’aggiornamento entro il 30 luglio o smettere di usare i loro PC. Tutte le altre organizzazioni, e persino gli utenti domestici, dovrebbero seguire l’esempio dato l’attuale panorama delle minacce. Secondo Check Point, Trend Micro e CISA, sappiamo che questa vulnerabilità è stata sfruttata in natura. Peggio ancora, Check Point afferma che quegli attacchi sono in corso da oltre 12 mesi.
Microsoft ha riconosciuto pubblicamente che la vulnerabilità era stata sfruttata nel suo aggiornamento di luglio, dicendomi “apprezziamo molto [Check Point’s] Haifei Li per questa ricerca e per averla segnalata in modo responsabile sotto una divulgazione coordinata delle vulnerabilità. I clienti che hanno installato l’aggiornamento sono già protetti.”
Se ci fossero dubbi sulla portata del rischio rappresentato da questa vulnerabilità, allora una ricerca sulla potenziale esposizione a questo specifico attacco dovrebbe far cambiare idea. Sevco ha appena pubblicato un rapporto che “si concentra sulla parte specifica della superficie di attacco a rischio a causa di CVE-2024-38112…” Una percentuale significativa di dispositivi Windows”, avvertono, “è completamente esposta e a rischio di essere presa in consegna dagli aggressori”.
I ricercatori affermano che l’analisi di oltre 500.000 dispositivi Windows 10 e Windows 11 suggerisce che “oltre il 10% dei dispositivi non dispone di controlli di protezione degli endpoint”, aggiungendo che “ciò significa che i CISO e le organizzazioni IT sono completamente ciechi rispetto a decine di migliaia di porte e finestre (per così dire) spalancate agli aggressori per violare le reti e accedere ai dati più preziosi”.
Check Point mi ha detto che la vulnerabilità era “particolarmente sorprendente… sfruttando Internet Explorer, che molti utenti potrebbero non sapere che è presente anche sul loro computer… Tutti gli utenti Windows [should] applicare immediatamente la patch Microsoft per proteggersi.”
Ironicamente, CVE-2024-38112 non è l’unica vulnerabilità di Internet Explorer ad essere entrata nella lista delle più pericolose stilata dalla CISA questo mese. CVE-2012-4792 è appena spuntato un avviso specifico su una vulnerabilità della memoria di Internet Explorer “user after free” nonostante il suo stato di fine vita. Questa volta, il mandato CISA è ancora più chiaro: “Il prodotto interessato è a fine vita e dovrebbe essere scollegato se ancora in uso”.
Il rischio pre-aggiornamento per gli utenti PC è riassunto al meglio da Trend Micro, che lo ha descritto come “un ottimo esempio di come le reliquie di Windows non supportate siano una superficie di attacco trascurata che può ancora essere sfruttata dagli autori delle minacce per infettare utenti ignari con ransomware, backdoor o come canale per altri tipi di malware”.
L’interruzione di Windows di questo mese, indipendentemente dalla causa, ha sommerso il ciclo delle notizie. Sebbene il problema di CrowdStrike sia stato doloroso e costoso, non è di per sé una minaccia informatica, sebbene i malintenzionati stiano chiaramente approfittando della confusione. La minaccia più silenziosa secondo l’avviso di CISA è esattamente l’opposto; non saprai di essere stato colpito finché non sarà troppo tardi. Quindi, assicurati di applicare l’aggiornamento, se non è già installato.
“Quando le risorse IT non dispongono della sicurezza degli endpoint”, consiglia Sevco nel suo rapporto, “gli attori malintenzionati hanno un percorso diretto verso le loro reti” e mentre “la maggior parte delle aziende è altamente competente nell’applicare patch alle risorse IT note”, avvertono, “sono le risorse non corrette, nascoste o sconosciute che introducono il livello di rischio più elevato”.
Un motivo in più per attenersi all’avvertimento della CISA e alla sua scadenza del 30 luglio.
