Windows, Microsoft corregge i problemi alle VPN e una grave falla 0-day già sfruttata

Con il patch Tuesday di maggio Microsoft pone rimedio a due gravi problematiche della sua piattaforma Windows: le interruzioni con le VPN e la falla 0-day CVE-2024-30051 sfruttata per diffondere malware attraverso QakBot.
di Nino Grasso pubblicata il 15 Maggio 2024, alle 11:31 nel canale Sistemi OperativiMicrosoftWindows 11Windows 10
In occasione del Patch Tuesday di maggio 2024, Microsoft ha rilasciato una serie di aggiornamenti per i propri sistemi operativi risolvendo due gravi problemi che hanno afflitto gli utenti Windows nelle scorse settimane. Da un lato, la casa di Redmond ha finalmente posto rimedio agli errori che causavano problemi di funzionamento nelle connessioni VPN; dall'altro, è stata corretta una falla 0-day attivamente sfruttata per diffondere malware via QakBot e altri payload malevoli.
La vicenda degli errori con le VPN aveva preso piede lo scorso aprile, quando numerosi utenti avevano segnalato difficoltà nel mantenere le connessioni VPN attive dopo aver installato gli aggiornamenti di sicurezza rilasciati nel mese. Il problema affliggeva un'ampia gamma di versioni di Windows, inclusi Windows 11, Windows 10, Windows Server 2022, 2019, 2016 e persino release datate come Windows Server 2008.
Il Patch Tuesday di maggio corregge falle critiche su Windows 10 e 11
Microsoft ha presto confermato il disservizio, consigliando agli utenti di usufruire dei canali di supporto o di rimuovere temporaneamente gli update incriminati tramite le procedure canoniche. Una soluzione tampone che comportava il rischio di esporre i sistemi a falle di sicurezza mitigate proprio in quel mese con gli aggiornamenti problematici. Con il Patch Tuesday di maggio, Microsoft ha finalmente incluso le correzioni definitive per porre fine al problema delle connessioni VPN interrotte
Ma la minaccia più grave risolta dagli aggiornamenti di maggio riguarda la vulnerabilità zero-day CVE-2024-30051, una falla di tipo escalation di privilegi nella libreria Desktop Window Manager (DWM) di Windows. Sfruttando questa criticità, gli aggressori potevano ottenere privilegi SYSTEM, ovvero il massimo livello di controllo sul sistema operativo Windows. La scoperta di questa vulnerabilità è stata resa nota dai ricercatori di Kaspersky, che ne hanno rinvenuto le tracce durante un'indagine su un altro zero-day dello stesso componente (CVE-2023-36033). Un documento anonimo caricato su VirusTotal ad aprile conteneva dettagli su come sfruttare la falla per ottenere i permessi elevati.
Sebbene la qualità delle informazioni fosse scadente, Kaspersky ha confermato non solo l'esistenza della vulnerabilità ma il fatto che era stata utilizzata per diffondere sia il malware QakBot, sia altri malware. La società di sicurezza ha quindi segnalato a Microsoft il bug, che è stato monitorato da allora con l'ID CVE-2024-30051.
QakBot, ribattezzato anche Qbot, ha una lunga storia alle spalle, nascendo come trojan bancario nel 2008 per rubare credenziali finanziarie prima di evolversi in un sistema di distribuzione malware più esteso, e utilizzato in campagne ransomware, spionaggio e furto di dati in aziende, strutture sanitarie ed enti governativi. Anche Google e altre società di sicurezza hanno avvertito Microsoft dello sfruttamento in corso di questa criticità 0-day, presumibilmente ad opera di molteplici gruppi cybercriminali.
Nel 2023 le forze dell'ordine americane avevano tentato di smantellare l'infrastruttura intorno a QakBot all'interno dell'Operazione "Duck Hunt", tuttavia la botnet è riemersa a fine anno con una nuova campagna di phishing mirata al settore dell'ospitalità. Le autorità stimano che QakBot sia stato utilizzato in almeno 40 attacchi ransomware, che hanno causato danni per centinaia di milioni di dollari in tutto il mondo. Con il rilascio delle patch di maggio, Microsoft pone quindi rimedio a due gravi problematiche della sua piattaforma Windows, una legata alle funzionalità del sistema operativo, l'altra - certamente più critica - alla sicurezza degli utenti.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".