Microsoft risolve vulnerabilità RCE in MSMQ e Outlook: CVE-2024-30080 e CVE-2024-30103
Microsoft ha rilasciato patch per due vulnerabilità RCE (Remote Code Execution) critiche: CVE-2024-30080, che interessa Microsoft Message Queuing (MSMQ), e CVE-2024-30103, che riguarda Microsoft Outlook. Queste vulnerabilità potrebbero essere sfruttate da attaccanti non autenticati per eseguire codice remoto.
CVE-2024-30080: Microsoft Message Queuing (MSMQ)
La vulnerabilità CVE-2024-30080 è un bug di tipo “use after free” che colpisce MSMQ. Gli attaccanti non autenticati possono sfruttarla inviando un pacchetto MSMQ malformato a un server MSMQ vulnerabile. Se sfruttata, questa vulnerabilità consente l’esecuzione di codice remoto.
Microsoft considera l’exploit di questa vulnerabilità “più probabile” a causa della mancanza di altre condizioni di sfruttamento, come l’autenticazione precedente o l’interazione dell’utente. Si consiglia di applicare la patch il più rapidamente possibile o di disabilitare il servizio MSMQ se non è necessario.
CVE-2024-30103: Microsoft Outlook
La vulnerabilità CVE-2024-30103 in Microsoft Outlook può anche portare a RCE. Questo bug consente agli aggressori di bypassare le liste di blocco del registro di Outlook e consentire la creazione di file DLL dannosi. Gli attaccanti possono quindi sfruttare il DLL hijacking per una maggiore compromissione.
Per sfruttare questa vulnerabilità, gli aggressori devono disporre di credenziali di Exchange valide. Tuttavia, l’exploit può verificarsi nella finestra di anteprima. Pertanto, si raccomanda di non ignorare questa patch, soprattutto considerando quanto spesso le credenziali vengono vendute nei forum sotterranei.
Altre vulnerabilità degne di nota
Oltre alle vulnerabilità MSMQ e Outlook, ci sono altre vulnerabilità degne di nota che sono state patchate nel giugno 2024 Patch Tuesday:
- CVE-2024-30078: un bug RCE che colpisce il driver Wi-Fi di Windows. Questa vulnerabilità consente a un attaccante non autenticato di eseguire codice sul sistema target inviando un pacchetto di rete specialmente formato.
- CVE-2024-30072: un’altra vulnerabilità RCE che può essere attivata aprendo un file di log di traccia eventi Microsoft dannoso.
- CVE-2024-30089: un bug di elevazione dei privilegi nel Microsoft Streaming Service. Microsoft ha etichettato questa vulnerabilità come “Exploitation More Likely”.
Suggerimenti, soluzioni e best practice
Per proteggere i sistemi da queste vulnerabilità, si consiglia di:
- Applicare le patch: Microsoft ha rilasciato patch per queste vulnerabilità. Applicare le patch il più rapidamente possibile per proteggere i sistemi.
- Disabilitare i servizi non necessari: Se il servizio MSMQ non è necessario, disabilitarlo per ridurre il rischio di sfruttamento.
- Limitare l’accesso alle credenziali: Limitare l’accesso alle credenziali di Exchange e utilizzare l’autenticazione a più fattori quando possibile.
- Monitorare la rete: Monitorare attivamente la rete per rilevare e rispondere agli attacchi.
- Utilizzare strumenti di rilevamento e prevenzione delle intrusioni: Utilizzare strumenti di rilevamento e prevenzione delle intrusioni per rilevare e bloccare gli attacchi.
- Educare gli utenti: Educare gli utenti sui rischi connessi alle vulnerabilità e alle best practice per la sicurezza informatica.
In conclusione, è fondamentale applicare le patch Microsoft rilasciate nel giugno 2024 Patch Tuesday per proteggere i sistemi dalle vulnerabilità RCE in MSMQ e Outlook, nonché dalle altre vulnerabilità degne di nota. Implementare best practice di sicurezza informatica, limitare l’accesso alle credenziali, monitorare attivamente la rete e educare gli utenti possono contribuire a ridurre il rischio di sfruttamento e mantenere i sistemi sicuri.
Fonte: https://www.helpnetsecurity.com/2024/06/11/cve-2024-30080-cve-2024-30103/
