Af Eskil Sørensen, 15/11/23
Microsoft har i forbindelse med Patch Tuesday udsendt rettelser til håndtering af 63 sårbarheder. Skriver en række medier på baggrund af oplysninger i Microsofts release note.
Fejlene med de højeste CVSS-score er CVE-2023-36028 og CVE-2023-36397. Der er tale om RCE-fejl i hhv. Protected Extensible Authentication Protocol og Pragmatic General Multicast, som en trusselaktør kan udnytte til at eksekvere ondsindet kode fra ’remote’. Begge sårbarheder en CVSS-score på 9,8. November-opdateringen inkluderer også en patch til en tredje kritisk fejl: CVE-2023-38545, ligeledes med en score på 9,8, som er en kritisk heap-baseret bufferoverløbsfejl i curl-biblioteket.
Ud over de tre kritiske sårbarheder, dvs. sårbarheder med CVSS-score på over ni, er der 56, som er 'vigtige' og fire som er 'moderate'.
Af de i alt 63 sårbarheder er fem af sårbarhederne er 0-dage. De er følgende:
- CVE-2023-36033 (CVSS 7,8) – Sårbarhed i Windows DWM Core Library – ‘elevation of privilege’-sårbarhed. Fejlen kan udnyttes mhp. at øge privilegier gennem Windows Desktop Manager (DWM). Opnår en angriber SYSTEM-privilegier kan problemet evt. kædes sammen med en fejl RCE-fejl mhp kompromittering af et system, skriver Microsoft.
- CVE-2023-36036 (CVSS 7,8) – Windows Cloud Files Mini Filter Driver – ’elevation of privilege'-sårbarhed. Fejlen kan udnyttes til at opnå SYSTEM-rettigheder.
- CVE-2023-36025 (CVSS 8,8) – Windows SmartScreen – ‘security feature bypass’-sårbarhed. En angriber kan udnytte denne fejl til at omgå Windows Defender SmartScreen-tjek og andre prompter. Fejlen kan udnyttes i phishing-kampagner og omgå advarsler til brugerne om at åbne et ondsindet dokument.
- CVE-2023-36038 (CVSS 8,2) - ASP.NET Core 'denial of service'-sårbarhed
- CVE-2023-35413 (CVSS 6,5) - Microsoft Office 'security feature bypass'-sårbarhed.
Øvrige produkter, der er omfattet af Patch Tuesday denne gang er Microsoft Windows og Windows-komponenter; Exchange Server, Kontor og kontorkomponenter; ASP.NET og .NET Framework, Azure, Mariner, Microsoft Edge (Chromium-baseret), Visual Studio og Windows Hyper-V.
Den fulde liste over sårbarheder behandlet af Microsoft for november er tilgængelige i Microsoftw release note.
Links:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-...
https://www.darkreading.com/vulnerabilities-threats/microsoft-zero-days-...
https://www.tripwire.com/state-of-security/vert-threat-alert-november-20...
https://blog.talosintelligence.com/microsoft-patch-tuesday-november-2023/
https://www.securityweek.com/microsoft-warns-of-critical-bugs-being-expl...
https://securityaffairs.com/154175/security/microsoft-patch-tuesday-secu...
https://www.theregister.com/2023/11/15/november_2023_patch_tuesday/