Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday [1].
Í heildina eru gefnar út að þessu sinni uppfærslur vegna 80 veikleika, og eru níu þeirra merktir sem mjög alvarlegir (e. critical).
Marga veikleika er hægt að misnota gagnvart internet tengdum búnaði og til að keyra kóða sem kerfisstjóri (e. RCE – Remote Code Execution).
Þrír veikleikar eru þegar misnotaðir af ógnaraðilum (0-day):
-
Microsoft Office Publisher
Veikleikinn CVE-2023-21715 með CVSS skor 7.3 gefur ógnaraðilum færi á að fara fram hjá vörnum og keyra macros -
Windows Common Log File System Driver
Veikleikinn CVE-2023-23376 með CVSS skor 7.8 sem gefur möguleika á að gefa notendum hærri réttindi (e. elevation of privilege). -
Microsoft Graphics Component
Veikleikinn CVE-2023-21823 með CVSS skor 7.8 gefur möguleika á að keyra kóða sem kerfisstjóri. SANS bendir á að uppfærslur vegna þessa veikleika gæti þurft að sækja í gegnum Microsoft Store [2].
Aðrir veikleikar sem eru flokkaðir sem mjög alvarlegir eru m.a. eftirfarandi:
- Veikleiki CVE-2023-21803 með CVSS skor 9.8 í Windows iSCSI Discovery Service sem gefur færi á því að keyra kóða sem kerfisstjóri (e. RCE – Remote Code Execution).
- Veikleiki CVE-2023-21716 með CVSS skor 9.8 í Microsoft Word sem gefur færi á því að keyra kóða sem kerfisstjóri.
- Veikleikar CVE-2023-21689, CVE-2023-21690 og CVE-2023-21692 allir með CVSS skor 9.8 í Microsoft Protected EAP (PEAP) sem gefur færi á því að keyra kóða sem kerfisstjóri.
Nokkrir aðilar hafa gefið út tilkynningar þar sem farið er betur yfir veikleikana [2][3][4]. Athugið að mismunandi upplýsingar um fjölda veikleika koma iðulega fram í slíkum tilkynningum frá þriðju aðilum.
CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft [1]. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.
Tilvísanir:
[1] https://portal.msrc.microsoft.com/en-us/security-guidance
[2] https://isc.sans.edu/diary/Microsoft+February+2023+Patch+Tuesday/29548/
[3] https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2023-patch-tuesday-fixes-3-exploited-zero-days-77-flaws/
[4] https://blog.talosintelligence.com/microsoft-patch-tuesday-for-january-2023-snort-rules-and-prominent-vulnerabilities/