Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Að þessu sinni eru gefnar út uppfærslur vegna 104 veikleika í heildina, og eru 12 þeirra merktir sem mjög alvarlegir (e. critical) [1]. Þrír af veikleikunum eru núlldagsveikleikar (e. zero-day vulnerability) sem verið er að misnota [2]. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Veikleikar nú þegar nýttir af ógnaraðilum (0-day)
Skype for Business
Veikleikinn CVE-2023-41763 með CVSSv3 skor uppá 5.1 gerir ógnaraðila kleift að skoða takmörkuð viðkvæm gögn með því að senda sérhannað netkall á Skype for Business þjón.
Microsoft WordPad
Veikleikinn CVE-2023-36563 með CVSSv3 skor uppá 6.5 gerir ógnaraðila kleift að komast yfir NTLM tætigildi (e. hash) með því að keyra sérhannað forrit þegar hann er inn á vélinni eða með því að fá notanda til að opna íllgjarna skrá.
HTTP/2
Veikleikinn CVE-2023-44487 með óskilgreint CVSSv3 skor gerir ógnaraðila kleift að valda álagsárás gagnvart þjónustum sem bjóða upp á HTTP/2 gagnvart sér. Sjá má nánar í fyrri frétt frá okkur [3] og ráðleggingar frá Microsoft [4].
Alvarlegir veikleikar (e.critical)
Microsoft Virtual Trusted Platform Module
Veikleikinn CVE-2023-36718 með CVSSv3 skor uppá 7.8 gerir ógnaraðila kleift að brjótast út úr sýndarumhverfi. Ógnaraðili þarf að vera auðkenndur notandi til þess að geta nýtt sér veikleikann.
Microsoft Message Queuing
Veikleikinn CVE-2023-35349 með CVSSv3 skor uppá 9.8 gerir ógnaraðila kleift að framkvæma fjarkeyrslu á kóða (e. remote code execution) ef Message Queuing er virkt. Veikleikinn CVE-2023-36697 með CVSSv3 skor uppá 6.8 gerir auðkenndum domain notanda kleift að framkvæma fjarkeyrslu á kóða ef Message Queuing er virkt.
Layer 2 Tunneling Protocol
Veikleikarnir CVE-2023-41765, CVE-2023-41773, CVE-2023-41771, CVE-2023-41768, CVE-2023-41767, CVE-2023-38166, CVE-2023-41774, CVE-2023-41769, CVE-2023-41770 með CVSSv3 skor uppá 8.1 gera ógnaraðila kleift að framkvæma fjarkeyrslu á kóða með því að senda sérhannað skilaboð á RRAS (Routing and Remote Access Service) þjón sem getur valdið keppnisástandi (e. race condition).
Tilvísanir:
• [1] https://msrc.microsoft.com/update-guide/en-us
• [2] https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/
• [3] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/alvarlegir-veikleikar-i-libcue-og-http-2
• [4] https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/
