Излезе мартенският Patch Tuesday
Microsoft разгласиха постоянните месечни обновления за Windows и обвързваните със системата артикули и услуги. Малко над 100 са включените в мартенския Patch Tuesday бюлетини, като компанията позволява два казуса, които към този момент са били експлоатирани в офанзиви.
Първата от двете уязвимости, които към този момент е експлоатирана е CVE-2023-24880, обявена на Microsoft от Гугъл TAG екипа, които са записали офанзива към нея за доставянето на зловредна стратегия от фамилията на Magniber. Специално основан файл може да преодолее инспекциите на системата за сигурност в системата Mark of the Web и по този метод въпросният файл да бъде счетен за безвреден от други механизми за сигурност, като Smart Screen. Microsoft дават на уязвимостта много ниска оценка на риска (CVSSv3), което евентуално е предизвикано от обстоятелството, че експлоатирането ѝ не е толкоз просто и се изисква деяние от страна на жертвата. Уязвимостта визира последните версии на Windows 10 и 11, както и Windows Server след 2016.
CVSSv3 рейтингът на втората към този момент експлоатирана накърнимост, която получава актуализация тук е много по-висок – 9.8. CVE-2023-23397 е докладвана от украинските CERT екипи и в допълнение разследвана от експертите от Microsoft. Тя визира локалните версии на Outlook, както и Microsoft 365 Apps for Enterprise. Уязвимостта разрешава повишение на правата на атакуващата страна и следващо компрометиране на мрежата.
Експлоатирането ѝ може да докара до това Outlook да изпрати удостоверени NTLM известия към следено от атакуващата страна SMB споделено устройство, като информацията може след това да се употребява за засвидетелствуване пред други услуги, употребяващи NTLM идентификация. Експлоатирането не изисква деяние от страна на жертвата, като самото експлоатиране не изисква дори известието да бъде прегледано от панела за прелиминарен обзор.
CVE-2023-1017 и CVE-2023-1018 са сериозни уязвимости в хардуерния модул TPM версия 2.0. Успешното експлоатиране на уязвимостите може да докара до повишение на привилегиите, като втората визира виртуални инстанции и Hyper-V. Тя разрешава изпращането на случайни команди към модула и писане върху основния дял от госта към хост машината. Засегнати от двойката уязвимости са както Windows, по този начин и Линукс инстанции.
CVE-2023-21708 се явява друга сериозна накърнимост, която може да разреши осъществяването на случаен код към системата при сполучливо експлоатиране. Тя е Remote Procedure Call (RPC) накърнимост, получаваща CVSSv3 рейтингът от 9.8 поради невисоката трудност на осъществяването на офанзивата и заради това, че не се изисква съответно деяние от страна на жертвата. Сред другите наранени услуги и артикули в мартенския Patch Tuesday откриваме имената на Windows Cryptographic Services, Internet Control Message Protocol (ICMP), Windows Cryptographic Services, Edge, Windows Secure Channel, Visual Studio, ядрото на системата, Account Control и други
