W ramach swojego wrześniowego Patch Tuesday Microsoft udostępnił poprawki naprawiające 59 błędów w szerokiej gamie swoich produktów, w tym dwie luki typu zero-day, które były aktywnie wykorzystywane przez cyberprzestępców.
Spośród 59 podatności 4 mają ocenę krytyczną, a 55 ważną. Aktualizacja stanowi dodatek do 35 usterek poprawionych w przeglądarce Edge od czasu wydania Patch Tuesday z zeszłego miesiąca.
Poniżej wyszczególniamy dwie z 59 podatności, aktywnie wykorzystywane w rzeczywistych atakach:
- CVE-2023-36761 (wynik CVSS: 6,2) – luka w zabezpieczeniach programu Microsoft Word umożliwiająca ujawnienie poufnych informacji,
- CVE-2023-36802 (wynik CVSS: 7,8) – luka w zabezpieczeniach serwera proxy usługi Microsoft Streaming Service umożliwiająca podniesienie uprawnień.
„Wykorzystanie tej luki może pozwolić na ujawnienie hashy NTLM” – informuje jeden z deweloperów systemu Windows w poradniku dotyczącym CVE-2023-36761 i dodaje, iż osoba atakująca może wykorzystać podatność w celu uzyskania uprawnień SYSTEM.
Dokładne szczegóły co do charakteru wykorzystania luki lub tożsamości podmiotów zagrażających stojących za atakami nie są w tej chwili znane.
„Wykorzystywanie luki CVE-2023-36761 nie ogranicza się tylko do potencjalnego celu otwierającego złośliwy dokument programu Word, ponieważ sam podgląd pliku może spowodować uruchomienie exploita” – podaje Satnam Narang, starszy inżynier ds. badań w Tenable. Eksploatacja umożliwiłaby ujawnienie hashy NTLM.
Warte uwagi są oczywiście też inne podatności z wynikami CVSS powyżej 8.0/10.0:
CVE-2023-33136 – Azure DevOps Server Remote Code Execution Vulnerability – Pomyślne wykorzystanie tej luki wymaga, aby osoba atakująca miała uprawnienia do tworzenia kolejki w potoku Azure DevOps, który posiada zastępowalną zmienną. Osoba atakująca posiadająca te uprawnienia może wykorzystać RCE, wprowadzając złośliwe dane wejściowe za pośrednictwem parametru czasu wykonywania.
CVE-2023-38148 – Internet Connection Sharing (ICS) Remote Code Execution Vulnerability – Atak ten jest ograniczony do systemów podłączonych do tego samego segmentu sieci, co atakujący.
CVE-2023-38147 – Windows Miracast Wireless Display Remote Code Execution Vulnerability – Nieuwierzytelniony atakujący może wyświetlać obraz w podatnym na ataki systemie w tej samej sieci bezprzewodowej, która została skonfigurowana z opcją „Projecting to this PC” i oznaczona jako „Available Everywhere”. Nie jest to konfiguracja domyślna.
CVE-2023-38146) – Windows Themes Remote Code Execution Vulnerability – Osoba atakująca musiałaby przekonać docelowego użytkownika do załadowania pliku motywów systemu Windows do podatnego systemu z dostępem do udziału SMB kontrolowanego przez atakującego.
Zachęcamy do przeprowadzenia jak najszybszej aktualizacji systemów Windows.