Af Eskil Sørensen, 11/01/23
Årets første patch Tuesday har kaster rettelser af sig til 98 sårbarheder, hvoraf en er en allerede udnyttet 0-dagssårbarhed. Det skriver Security Week og en række andre medier.
0-dagssårbarheden har id’et CVE-2023-21674 og har af Microsoft fået en score på 8,8. Den findes i Windows Advanced Local Procedure Call (ALPC) og giver en angriber mulighed for at øge privilegier på et kompromitteret system. Sårbarheden påvirker alle Windows OS-versioner og kan gøre det muligt for en hacker at undslippe en browsersandbox og få privilegier på systemniveau, skriver Dark Reading.
11 af sårbarhederne anføres som værende ’kritiske’, hvilket mens 87 er ’vigtige’. Fem af sårbarhederne Microsoft Exchange Server og tre ligger i SharePoint.
Dark Reading skriver i sin omtale af Patch Tuesday, at flere sikkerhedsfolk peger på en Microsoft SharePoint Server-sikkerhedsfunktion som værende én, som organisationer bør håndtere med det samme pga. den risiko, den udgør. Fejlen gør det muligt for en uautoriseret angriber at omgå godkendelse og oprette en anonym forbindelse til en berørt SharePoint-server. En komplicerende faktor med sårbarheden er, at patching alene ikke er tilstrækkeligt til at afbøde den truslen. Der skal også installeres en en SharePoint-opgradering, som Microsoft så har inkluderet i månedens sikkerhedsopdatering.
Sårbarheden har id’et CVE-2023-21743.
Endelig gør Microsoft også opmærksom på en sårbarhed i Windows SMB Witness Service, eftersom tekniske detaljer om sårbarheden er offentligt tilgængelige. Denne har id’et CVE-2023-21549. For at udnytte denne sårbarhed kan en angriber udføre et specielt udformet ondsindet script, som udfører et RPC-kald til en RPC-vært. Dette kan resultere i forhøjelse af privilegier på serveren.
Samlet retter Januar-opdateringen fejl vedr. afvikling af kode, Ddos-angreb og udvidelse af privilegier i Windows OS og systemkomponenter. Endelig er der sikkerhedsissues i Office-produktivitetspakke, .Net Core og Visual Studio Code, Microsoft Exchange Server, Windows Print Spooler, Windows Defender og Windows BitLocker.
Links:
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/
https://us-cert.cisa.gov/ncas/current-activity/2023/01/10/microsoft-releases-january-2023-security-updates
https://blog.talosintelligence.com/microsoft-patch-tuesday-for-january-2023/
https://www.darkreading.com/vulnerabilities-threats/microsoft-new-year-patches-98-security-fixes
https://www.helpnetsecurity.com/2023/01/10/patch-tuesday-cve-2023-21674/
https://www.tripwire.com/state-of-security/vert-threat-alert-january-2023-patch-tuesday-analysis
https://www.securityweek.com/microsoft-patch-tuesday-97-windows-vulns-1-exploited-zero-day
https://www.theregister.com/2023/01/11/patch_tuesday_january_2023/
https://nakedsecurity.sophos.com/2023/01/11/microsoft-patch-tuesday-one-0-day-win-7-and-8-1-get-last-ever-patches/