Den anden Patch Tuesday for 2023 er lige rullet ud, fastsættelse i alt 75 smuthuller på tværs af forskellige Microsoft-produkter. Tre nul-dage blev fastsat, samt en kritisk RCE-fejl i Microsoft Word, som let kunne udnyttes af ransomware-operatører (CVE-2023-21716). Disse rettelser er en tilføjelse til 22 separate sårbarheder i Edge-browseren, som virksomheden rettede for et par dage siden.
Hvis du ikke vidste det, Patch tirsdag er den anden tirsdag i hver måned, når Microsoft udgiver sikkerhedsrettelser og fejlrettelser til sine softwareprodukter. Patch Tuesday er en afgørende del af Microsofts sikkerhedsstrategi, da det giver individuelle brugere og organisationer mulighed for at holde sig ajour med de seneste sikkerhedsrettelser og opdateringer.
Så, hvad der er blevet rettet i denne Patch Tuesday-udgave, og hvilke produkter der er blevet påvirket af sikkerhedsfejl?
Patch tirsdag februar 2023: Berørte Microsoft-produkter
Udgivelsen indeholder sikkerhedsopdateringer til en række produkter, funktioner og roller, Herunder:
- .NET og Visual Studio
- .NET Framework
- 3D Bygmester
- Azure App Service
- Azure Data Box Gateway
- Azure DevOps
- Azure Machine Learning
- HoloLens
- Internet Storage Name Service
- Microsoft Defender til Endpoint
- Microsoft Defender til IoT
- Microsoft Dynamics
- Microsoft Edge (Chrom-baseret)
- Microsoft Exchange Server
- Microsoft Grafik Komponent
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft PostScript-printerdriver
- Microsoft WDAC OLE DB-udbyder til SQL
- Microsoft Windows Codecs bibliotek
- Power BI
- SQL Server
- Visual Studio
- Windows Active Directory
- Windows ALPC
- Windows Common Log File System Driver
- Windows Kryptografiske tjenester
- Windows distribueret filsystem (DFS)
- Windows fax- og scanningstjeneste
- Windows HTTP.sys
- Windows Installer
- Windows iSCSI
- Windows Kerberos
- Windows MSHTML platform
- Windows ODBC-driver
- Windows-beskyttet EAP (PEAP)
- Windows SChannel
- Windows Win32K
Ud af det 75 rapporterede sårbarheder, ni anses for at være kritiske og 66 er rangeret som vigtige i sværhedsgrad. Desuden, 37 af fejlene er klassificeret som Fjernbetjening af kode (RCE) fejl. Særligt bemærkelsesværdigt er de tre nul-dage der er blevet udnyttet, Herunder:
CVE-2023-21715 med en CVSS-score på 7.3
Dette er en Microsoft Office-sikkerhedsfunktions-omgåelsessårbarhed. Et sårbart system kan udnyttes, hvis et lokalt, autentificeret bruger downloader og åbner en fil oprettet af en angriber.
CVE-2023-21823 med en CVSS-score på 7.8
Dette er en sårbarhed i Windows Graphics Component Elevation of Privilege.
Sårbarheden kan gøre det muligt for en ondsindet aktør at fjernafvikle kode og få fuldstændig kontrol over et berørt system.
CVE-2023-23376 med en CVSS-score på 7.8
Dette er et Windows Common Log File System (CLFS) Sårbarhed med førerløft af privilegier. Denne fejl kunne give trusselsaktører mulighed for at opnå SYSTEM-privilegier på en målvært. Ifølge Trend Micro, hvis den er lænket med en RCE-fejl, denne sårbarhed kan blive våbenet af APT-aktører i ransomware- og malware-distributionsangreb.
Andre bemærkelsesværdige sårbarheder, der er blevet rettet, omfatter CVE-2023-21716 og adskillige RCE-fejl i Exchange-serveren.
trend Micro, for eksempel, understreger vigtigheden af hurtigt at patche CVE-2023-21716, den kritisk RCE i Microsoft Word som kan udnyttes uden brugerinteraktion, blot ved at åbne forhåndsvisningsruden. Microsoft har udtalt, at en angriber potentielt kan sende en ondsindet e-mail, der indeholder en RTF-nyttelast, hvilket ville give dem mulighed for at få adgang og, væsentlige, udføre kommandoer i applikationen.
Endelig, flere RCE-sårbarheder i Microsoft Exchange Server kræver, at angriberen godkendes før udnyttelse, så administratorer bør også prioritere disse patches.