Microsoft heeft oplossingen uitgebracht om 63 beveiligingsfouten in zijn software voor de maand november 2023 op te lossen, waaronder drie kwetsbaarheden die in het wild actief zijn uitgebuit.
Van de 63 tekortkomingen worden er drie beoordeeld als kritiek, 56 als belangrijk en vier als matig. Twee ervan stonden op het moment van de release vermeld als publiekelijk bekend.
De updates vormen een aanvulling op meer dan 35 beveiligingstekortkomingen die zijn verholpen in de op Chromium gebaseerde Edge-browser sinds de release van Patch Tuesday-updates voor oktober 2023.
De vijf nuldagen die van belang zijn, zijn als volgt:
- CVE-2023-36025 (CVSS-score: 8,8) – Beveiligingsfunctie van Windows SmartScreen omzeilt kwetsbaarheid
- CVE-2023-36033 (CVSS-score: 7,8) – Beveiligingslek inzake misbruik van bevoegdheden in Windows DWM Core Library
- CVE-2023-36036 (CVSS-score: 7,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Cloud Files Mini Filter Driver
- CVE-2023-36038 (CVSS-score: 8,2) – ASP.NET Core Denial of Service-kwetsbaarheid
- CVE-2023-36413 (CVSS-score: 6,5) – Microsoft Office-beveiligingsfunctie omzeilt kwetsbaarheid
Zowel CVE-2023-36033 als CVE-2023-36036 kunnen door een aanvaller worden misbruikt om SYSTEEMrechten te verkrijgen, terwijl CVE-2023-36025 het mogelijk zou kunnen maken om Windows Defender SmartScreen-controles en de bijbehorende aanwijzingen te omzeilen.
“De gebruiker zou op een speciaal vervaardigde internetsnelkoppeling (.URL) of een hyperlink moeten klikken die naar een internetsnelkoppelingsbestand verwijst om door de aanvaller te worden gecompromitteerd”, zei Microsoft over CVE-2023-36025.
De Windows-maker heeft echter geen verdere richtlijnen gegeven over de gebruikte aanvalsmechanismen en de bedreigingsactoren die deze mogelijk bewapenen. Maar de actieve exploitatie van de tekortkomingen in de escalatie van privileges suggereert dat deze waarschijnlijk worden gebruikt in combinatie met een bug bij het uitvoeren van externe code.
“Er zijn de afgelopen twee jaar twaalf kwetsbaarheden voor misbruik van bevoegdheden geweest in de DWM Core Library, hoewel dit de eerste is die in het wild als zero-day is uitgebuit”, zegt Satnam Narang, senior research engineer bij Tenable. in een verklaring gedeeld met The Hacker News.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet de drie problemen toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waarbij federale instanties worden opgeroepen de oplossingen uiterlijk 5 december 2023 toe te passen.
Ook door Microsoft gepatcht zijn twee kritieke fouten bij het uitvoeren van externe code in het Protected Extensible Authentication Protocol en Pragmatic General Multicast (CVE-2023-36028 en CVE-2023-36397, CVSS-scores: 9,8) die een bedreigingsacteur zou kunnen gebruiken om de uitvoering van kwaadaardige aanvallen te activeren. code.
De update van november bevat verder een patch voor CVE-2023-38545 (CVSS-score: 9,8), een kritieke heap-gebaseerde bufferoverflow-fout in de curl-bibliotheek die vorige maand aan het licht kwam, evenals een kwetsbaarheid voor het vrijgeven van informatie in Azure CLI ( CVE-2023-36052, CVSS-score: 8,6).
“Een aanvaller die dit beveiligingslek met succes misbruikt, kan wachtwoorden en gebruikersnamen in platte tekst herstellen uit logbestanden die zijn gemaakt door de getroffen CLI-opdrachten en zijn gepubliceerd door Azure DevOps en/of GitHub Actions”, aldus Microsoft.
Palo Alto Networks-onderzoeker Aviad Hahami, die het probleem meldde, zei dat de kwetsbaarheid toegang zou kunnen bieden tot inloggegevens die zijn opgeslagen in het logboek van de pijplijn en een tegenstander in staat zou kunnen stellen zijn rechten te escaleren voor vervolgaanvallen.
Als reactie hierop zei Microsoft dat het wijzigingen heeft aangebracht in verschillende Azure CLI-opdrachten om Azure CLI (versie 2.54) te beschermen tegen onbedoeld gebruik dat zou kunnen leiden tot het blootleggen van geheimen.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
