Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Að þessu sinni eru gefnar út uppfærslur vegna 59 veikleika í heildina, og eru 5 þeirra merktir sem mjög alvarlegir (e. critical) [1]. Tveir af veikleikunum eru núlldagsveikleikar (e. zero-day vulnerability) sem verið er að misnota [2]. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Núlldagsveikleikar (e. zero-day vulnerabilities)
Microsoft Streaming Service Proxy
Veikleikinn CVE-2023-36802 hefur CVSSv3 skor upp á 7.8. Veikleikann má misnota til aukningu réttinda (e. local privilege elevation) og gerir ógnaraðilum kleift að fá SYSTEM réttindi.
Microsoft Word
Veikleikinn CVE-2023-36761 hefur CVSSv3 skor upp á 6.2. Veikleikann má misnota til að stela NTLM tætigildum þegar notandi opnar skjöl í Microsoft Word. Ógnaraðilar geta þá afkóðað (e. crack) NTLM tætigildin eða notað NTLM Relay árás til að fá frekari aðgang.
Alvarlegir veikleikar (e. critical)
Microsoft Azure Kubernetes Service
Veikleikinn CVE-2023-29332 er með CVSSv3 skor uppá 7.5 og hann má nýta til að fá kerfisstjóra aðgang að Kubernetes klösum (e. Kubernetes Cluster Administrator privileges). Veikleikann má nýta í gegnum Internetið.
Visual Studio Remote Code
Veikleikarnir CVE-2023-36796, CVE-2023-36792 og CVE-2023-36793 eru allir með CVSSv3 skor upp á 7.8 en þeir gera ógnaraðila kleift að framkvæma fjarkeyrslu á kóða (e. remote code execution) [3].
Windows Internet Connection Sharing (ICS)
Veikleikinn CVE-2023-38148 er með CVSSv3 skor upp á 8.8 og gerir ógnaraðila kleift að framkvæma fjarkeyrslu á kóða (e. remote code execution). Til að misnota veikleikann þarf Internet Connection Sharing að vera virkt og ógnaraðili að vera tengdur sömu nettengingu og fórnarlambið [3].
Tilvísanir
[1] https://msrc.microsoft.com/update-guide/en-us
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2023-patch-tuesday-fixes-2-zero-days-59-flaws/
[3] https://www.crowdstrike.com/blog/patch-tuesday-september-2023/
