Advarer om 0-dagssårbarhed i Outlook

Patch Tuesday retter 83 fejl, heraf to 0-dage.

Microsoft har i går advaret om en kritisk 0-dagssårbarhed i Outlook. Advarslen kommer i forbindelse med Patch Tuesday, der førte rettelser af over 80 sårbarheder med sig.

Det skriver en række medier, herunder Security Week og Bleeping Computer, i deres sædvanlige omtale af de opdateringer fra Microsoft, der altid kommer den anden tirsdag i måneden. 

0-dagssårbarheden i Outlook har id’et CVE-2023-23397 og en CVSS-score på 9,8. Det betyder, at den er kritisk, og som 0-dag er den allerede under udnyttelse. Selve udnyttelsen kan ske ved at en angriber sender en specielt udformet e-mail, der automatisk afvikles, når den hentes og behandles af e-mail-serveren. Det betyder, at det kan føre til udnyttelse, før e-mailen ses i 'Preview'-ruden.

Security Week skriver, at den ukrainske CERT-organisation og Microsofts eget threat intelligence-center er krediteret for fundet af sårbarheden, hvilket efter Security Weeks opfattelse er en indikation på, at sårbarheden allerede er blevet udnyttet i avancerede APT-angreb i Europa. Bleeping Computer tilføjer, at den har været under udnyttelse af den russiske efterretningstjeneste siden aprili 2022.

Derudover omtales også en anden sårbarhed - CVE-2023-24880 - for ’omgående opmærksomhed’. Opdateringen af denne har til skal begrænse angribere i at omgå SmartScreen-teknologien. SmartScreen-teknologien findes i Microsoft Edge og Windows-operativsystemet og har til formål at hjælpe brugerne med at beskytte sig mod phishing og downloads af malware som følge af social engineering. En Magniber ransomware-gruppen er blevet observeret ved at udnytte SmartScreen-bypass.

I alt er der ifølge Bleeping Computer rettet følgende fejl fordele på hver sårbarhedstype:

  • 21 vedr. udvidelse af privilegier
  • 2 vedr. omgåelse af sikkerhedsfunktionen
  • 27 vedr. fjernafvikling af kode
  • 15 vedr. information disclosure
  • 4 vedr. denial of Service
  • 10 vedr. spoofing
  • 1 sårbarhed vedr. Edge - Chromium

Derudover er der også rettet 21 Microsoft Edge-sårbarheder.

Det anbefales at opdatere systemer og tjenester i henhold til vejledningerne fra Microsoft

Links:

https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/

https://blog.talosintelligence.com/microsoft-patch-tuesday-for-march-2023-snort-rules-and-prominent-vulnerabilities/

https://www.automox.com/blog/patch-tuesday-march-2023

https://www.darkreading.com/vulnerabilities-threats/microsoft-zero-day-bugs-security-feature-bypass

https://www.helpnetsecurity.com/2023/03/14/cve-2023-23397-cve-2023-24880/

https://www.tripwire.com/state-of-security/vert-threat-alert-march-2023-patch-tuesday-analysis

https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/

https://www.securityweek.com/microsoft-patch-tuesday-zero-day-attacks/

https://www.itnews.com.au/news/microsoft-patches-include-two-bugs-already-exploited-592075

https://www.theregister.com/2023/03/14/microsoft_patch_tuesday/

https://securityaffairs.com/143486/security/microsoft-patch-tuesday-march-2023.html