Microsoft je objavio svoje ispravke Patch Tuesday za oktobar 2023. godine, rješavajući ukupno 103 greške u svom softveru, od kojih su dvije bile pod aktivnom eksploatacijom.
Od 103 mane, 13 je ocijenjeno kritičnim, a 90 važnim po ozbiljnosti. Ovo je riješeno pored 18 sigurnosnih propusta koji su otklonjeni u Chromium-baziranom Edge pretraživaču od drugog utorka u septembru.
Dvije ranjivosti koje su označene kao zero-days su sljedeće –
- CVE-2023-36563 (CVSS rezultat: 6,5) – Ranjivost otkrivanja informacija u Microsoft WordPadu koja bi mogla dovesti do curenja NTLM hashova
- CVE-2023-41763 (CVSS rezultat: 5,3) – Ranjivost eskalacije privilegija u Skype for Business koja može dovesti do izlaganja osjetljivih informacija kao što su IP adrese ili brojevi portova (ili oboje), omogućavajući hakerima da dobiju pristup internim mrežama
“Da bi iskoristio ovu ranjivost, napadač bi se prvo morao prijaviti na sistem. Napadač bi tada mogao pokrenuti posebno kreiranu aplikaciju koja bi mogla iskoristiti ranjivost i preuzeti kontrolu nad pogođenim sistemom”, navodi Microsoft u savjetu za CVE-2023 -36563.
“Pored toga, napadač bi mogao uvjeriti lokalnog korisnika da otvori malicioznui datoteku. Napadač bi morao uvjeriti korisnika da klikne na vezu, obično putem primamljivanja u e-poruci ili instant poruci, a zatim ga uvjeriti da otvori posebno izrađen fajl.”
Redmond je također popravio desetine nedostataka koji utiču na Microsoft Message Queuing (MSMQ) i Layer 2 Tunneling Protocol koji bi mogli dovesti do daljinskog izvršavanja koda i uskraćivanja usluge (DoS).
Sigurnosno ažuriranje dalje rješava ozbiljnu grešku eskalacije privilegija u Windows IIS serveru (CVE-2023-36434, CVSS rezultat: 9.8) koja bi mogla dozvoliti napadaču da se lažno predstavlja i prijavi kao drugi korisnik putem napada grubom silom.
Tehnološki gigant je također objavio ažuriranje za CVE-2023-44487, koji se također naziva HTTP/2 Rapid Reset napad, koji su nepoznati hakeri iskoristili kao zero-day da bi sproveli hyper-volumetric distributed denial-of-service (DDoS) napad.
„Iako ovaj DDoS ima potencijal da utiče na dostupnost usluga, on sam po sebi ne dovodi do kompromitovanja korisničkih podataka, a u ovom trenutku nismo videli nikakve dokaze da su podaci korisnika kompromitovani“, navodi se.
Konačno, Microsoft je najavio da je Visual Basic Script (aka VBScript), koji se često iskorištava za distribuciju malvera, zastario, dodajući, “u budućim izdanjima Windowsa, VBScript će biti dostupan kao funkcija na zahtjev prije nego što se ukloni iz operativnog sistema.”