Patch Tuesday: Tre aktivt udnyttede sårbarheder

Patches til 103 sårbarheder udsendt.

Microsoft har i forbindelse med Patch Tuesday udsendt 103 patches og rettet tre aktivt udnyttede sårbarheder. Det fremgår af Helpnet Security og en række andre medier, der som vanligt omtaler den månedlige opdatering fra Microsoft

De tre sårbarheder findes i følgende produkter:

  • Wordpad (CVE-2023-36563, CVSS 6,5). Sårbarheden kan give angribere mulighed for at få fat i krypterede brugeradgangskoder på Windows-systemer. Udnyttelse af sårbarheden kræver, at en angriber skal logge på systemet. Derefter skal der køres et specielt udformet program, der kan udnytte sårbarheden og tage kontrol over et berørt system, hvorefter en angriber evt. kan overbevise en lokal bruger om at åbne en ondsindet, fremgår det Microsofts advisory.
  • Skype (CVE-2023-41763, CVSS 5,3). Sårbarheden kan udnyttes ved at foretage et specielt udformet netværksopkald til målet, dvs. Skype for Business-serveren. Det kan medføre parsing af en HTTP-anmodning foretaget til en vilkårlig adresse. På den baggrund kan en angriber indsamle IP-adresser og/eller portnumre. Microsoft skriver, at disse oplysninger kan give adgang til interne netværk, hvilket kategoriserer fejlen som en sårbarhed vedrørende udvidelse af privilegier.
  • HTTP/2-protokollen (CVE-2023-44487, CVSS 7,5 ifølge RedHat). Sårbarheden i HTTP/2-protokollen er blevet udnyttet af angribere til at udføre ’massive’ DDoS-angreb i august 2023.

En anden kritisk, men pt. ikke aktivt udnyttet sårbarhed, er en Microsoft Message Queuing RCE-sårbarhed. Den har id'et CVE-2023-35349 og en CVSS-score på 9.8. Sårbarheden kan udnyttes af en aktør med netværksadgang til en enhed med MSMQ-servicen kørende til at udføre fjernafvikling af kode via PowerShell. Sårbarheden kan mitigeres ved at opdatere systemer/applikationer til en sikker version.

Derudover er der også rettet Exchange Server-fejl (CVE-2023-36778, CVSS 8,0), som kan udnyttes til at opnå fjernafvikling af kode via en PowerShell-fjernsession. Det kræver dog, at angriberen er autentificeret med LAN-adgang og har legitimationsoplysninger til en gyldig Exchange-bruger.

Endelig leverer Microsoft patches til Windows 10 og 11, Windows Server 2016, 2019 og 2022,  ASP.NET Core 7.0, Microsoft Visual Studio 2022, .NET 6.0 og 7.0; og ASP.NET Core 6.0.

Det anbefales at opdatere i henhold til Microsofts anvisninger.

Links:

https://msrc.microsoft.com/update-guide
https://www.helpnetsecurity.com/2023/10/10/cve-2023-36563-cve-2023-41763/
https://www.itnews.com.au/news/rapid-reset-among-microsofts-105-patches-for-october-601084
https://www.theregister.com/2023/10/10/october_2023_patch_tuesday/
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/

https://www.tripwire.com/state-of-security/vert-threat-alert-october-2023-patch-tuesday-analysis
https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-haunted-zero-days-wormable-bug
https://www.securityweek.com/microsoft-fixes-exploited-zero-days-in-wordpad-skype-for-business/