W ramach listopadowego wydania biuletynu wtorkowych łatek Microsoft udostępnił aż 63 poprawki, w tym pięć luk typu zero-day.
Od ostatniego Patch Tuesday firma opublikowała aktualizacje dla 63 luk w zabezpieczeniach, w tym powiązanych z eskalacją uprawnień (16), zdalnym wykonaniem kodu (15), fałszowaniem (11), obejściem funkcji zabezpieczeń (6), ujawnieniem informacji (6) i odmową usługi (5).
Jak wspomniano w uwagach do łatek, producent z Redmond opublikował również ponownie 15 CVE innych firm, które istnieją w sterowniku Microsoft Bluetooth i przeglądarce Microsoft Edge (opartej na technologii Chromium).
Najważniejszą informacją jest to, że w tym miesiącu mamy naprawione aż 3 zero-daye (publiczne i wykorzystane na wolności) oraz dwa inne, publiczne, ale jeszcze niewykorzystywane.
Nowe zero-daye Microsoft
Godnych uwagi jest pięć zero-dayów:
- CVE-2023-36025 (wynik CVSS: 8,8) — luka w zabezpieczeniach umożliwiająca obejście funkcji zabezpieczeń Windows SmartScreen,
- CVE-2023-36033 (wynik CVSS: 7,8) — luka w zabezpieczeniach biblioteki Windows DWM Core umożliwiająca podniesienie uprawnień,
- CVE-2023-36036 (wynik CVSS: 7,8) — luka w zabezpieczeniach sterownika minifiltra plików w chmurze systemu Windows umożliwiająca podniesienie uprawnień,
- CVE-2023-36038 (wynik CVSS: 8,2) — luka w zabezpieczeniach platformy ASP.NET Core związana z odmową usługi,
- CVE-2023-36413 (wynik CVSS: 6,5) — luka w zabezpieczeniach pakietu Microsoft Office umożliwiająca obejście funkcji zabezpieczeń.
Microsoft wspomina o trzech lukach dnia zerowego jako „wykrytych exploitach”, ponieważ cyberprzestępcy wykorzystywali je w środowisku naturalnym.
Szczegóły wymienionych pięciu luk opisujemy poniżej.
CVE-2023-36025
CVE-2023-36025 to już trzecia luka dnia zerowego w systemie Windows SmartScreen wykorzystana w środowisku naturalnym w 2023 roku i czwarta w ciągu ostatnich dwóch lat. W grudniu 2022 roku Microsoft załatał CVE-2022-44698 (wynik CVSS: 5,4), CVE-2023-24880 (wynik CVSS: 5,1) została załatana w marcu, a CVE-2023-32049 (wynik CVSS: 8,8) załatano w lipcu.
Producent nie dostarczył jednak żadnych dalszych wskazówek na temat stosowanych mechanizmów ataku ani aktorów, którzy mogą wykorzystać luki. Jednak aktywne wykorzystanie błędów związanych z eskalacją uprawnień sugeruje, że są one prawdopodobnie używane w połączeniu z błędem zdalnego wykonywania kodu.
CVE-2023-36033: podniesienie uprawnień w bibliotece podstawowej Windows DWM
Wykryto, że osoba atakująca, która pomyślnie wykorzysta tę lukę, może uzyskać uprawnienia SYSTEMOWE.
Do exploitacji nie jest wymagana żadna interakcja użytkownika, jednak niezbędne są podstawowe uprawnienia użytkownika.
Poziom ważności tej luki to 7,8 (wysoki). Stwierdzono, że występuje ona w wielu produktach Microsoft. Producent nie podał żadnych dodatkowych informacji na jej temat.
CVE-2023-36036 — podniesienie uprawnień w sterowniku minifiltra plików w chmurze systemu Windows
Atakujący może wykorzystać tę lukę i uzyskać uprawnienia SYSTEM do wykonania kilku złośliwych działań w zaatakowanym systemie.
Dotyczy to Microsoft Windows Server 2019, systemów 32-bitowych, systemów opartych na procesorach x64, systemów opartych na architekturze ARM64, Windows Server 2022, Windows 11 w wersji 21H2 i wielu innych produktów Microsoft.
Poziom ważności tej luki to 7,8 (wysoki). Nie podano jednak żadnych dodatkowych informacji na jej temat, jak sposób wykorzystania lub ugrupowanie zagrażające.
CVE-2023-36038
CVE-2023-36038 to dostępna publicznie luka w zabezpieczeniach platformy ASP.NET. Exploatacja jej jest mniej prawdopodobna, ale osoba atakująca może zwiększyć liczbę wątków, powodując wyjątek OutOfMemoryException, który wywoła awarię usług IIS.
CVE-2023-36413
Luka wpływa na pakiet Microsoft Office i według Microsoftu jest bardziej prawdopodobne, że zostanie wykorzystana. Wymaga interakcji użytkownika. Exploit umożliwia ominięcie widoku chronionego w pakiecie Office.
Zalecamy jak najszybszą aktualizację systemów.