Af Eskil Sørensen, 15/03/23
Microsoft har i går advaret om en kritisk 0-dagssårbarhed i Outlook. Advarslen kommer i forbindelse med Patch Tuesday, der førte rettelser af over 80 sårbarheder med sig.
Det skriver en række medier, herunder Security Week og Bleeping Computer, i deres sædvanlige omtale af de opdateringer fra Microsoft, der altid kommer den anden tirsdag i måneden.
0-dagssårbarheden i Outlook har id’et CVE-2023-23397 og en CVSS-score på 9,8. Det betyder, at den er kritisk, og som 0-dag er den allerede under udnyttelse. Selve udnyttelsen kan ske ved at en angriber sender en specielt udformet e-mail, der automatisk afvikles, når den hentes og behandles af e-mail-serveren. Det betyder, at det kan føre til udnyttelse, før e-mailen ses i 'Preview'-ruden.
Security Week skriver, at den ukrainske CERT-organisation og Microsofts eget threat intelligence-center er krediteret for fundet af sårbarheden, hvilket efter Security Weeks opfattelse er en indikation på, at sårbarheden allerede er blevet udnyttet i avancerede APT-angreb i Europa. Bleeping Computer tilføjer, at den har været under udnyttelse af den russiske efterretningstjeneste siden aprili 2022.
Derudover omtales også en anden sårbarhed - CVE-2023-24880 - for ’omgående opmærksomhed’. Opdateringen af denne har til skal begrænse angribere i at omgå SmartScreen-teknologien. SmartScreen-teknologien findes i Microsoft Edge og Windows-operativsystemet og har til formål at hjælpe brugerne med at beskytte sig mod phishing og downloads af malware som følge af social engineering. En Magniber ransomware-gruppen er blevet observeret ved at udnytte SmartScreen-bypass.
I alt er der ifølge Bleeping Computer rettet følgende fejl fordele på hver sårbarhedstype:
- 21 vedr. udvidelse af privilegier
- 2 vedr. omgåelse af sikkerhedsfunktionen
- 27 vedr. fjernafvikling af kode
- 15 vedr. information disclosure
- 4 vedr. denial of Service
- 10 vedr. spoofing
- 1 sårbarhed vedr. Edge - Chromium
Derudover er der også rettet 21 Microsoft Edge-sårbarheder.
Det anbefales at opdatere systemer og tjenester i henhold til vejledningerne fra Microsoft
Links:
https://www.automox.com/blog/patch-tuesday-march-2023
https://www.darkreading.com/vulnerabilities-threats/microsoft-zero-day-bugs-security-feature-bypass
https://www.helpnetsecurity.com/2023/03/14/cve-2023-23397-cve-2023-24880/
https://www.tripwire.com/state-of-security/vert-threat-alert-march-2023-patch-tuesday-analysis
https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
https://www.securityweek.com/microsoft-patch-tuesday-zero-day-attacks/
https://www.itnews.com.au/news/microsoft-patches-include-two-bugs-already-exploited-592075
https://www.theregister.com/2023/03/14/microsoft_patch_tuesday/
https://securityaffairs.com/143486/security/microsoft-patch-tuesday-march-2023.html