Vulnerabilități critice ale Microsoft

În ianuarie 2023 Microsoft a lansat actualizări pentru 98 de vulnerabilități numerotate CVES (Common Vulnerabilities and Exposures) dintre care 11 au fost evaluate drept critice și 87 considerate importante.

Actualizări de securitate de la Microsoft din această lună include patch-uri pentru:

• .NET Core
• 3D Builder
• Azure Service Fabric Container
• Microsoft Bluetooth Driver
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Local Security Authority Server (lsasrv)
• Microsoft Message Queuing
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft Office Visio
• Microsoft WDAC OLE DB provider for SQL
• Visual Studio Code
• Windows ALPC
• Windows Ancillary Function Driver for WinSock
• Windows Authentication Methods
• Windows Backup Engine
• Windows Bind Filter Driver
• Windows BitLocker
• Windows Boot Manager
• Windows Credential Manager
• Windows Cryptographic Services
• Windows DWM Core Library
• Windows Error Reporting
• Windows Event Tracing
• Windows IKE Extension
• Windows Installer
• Windows Internet Key Exchange (IKE) Protocol
• Windows iSCSI
• Windows Kernel
• Windows Layer 2 Tunneling Protocol
• Windows LDAP - Lightweight Directory Access Protocol
• Windows Local Security Authority (LSA)
• Windows Local Session Manager (LSM)
• Windows Malicious Software Removal Tool
• Windows Management Instrumentation
• Windows MSCryptDImportKey
• Windows NTLM
• Windows ODBC Driver
• Windows Overlay Filter
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Remote Access Service L2TP Driver
• Windows RPC API
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Smart Card
• Windows Task Scheduler
• Windows Virtual Registry Provider
• Windows Workstation Service

Vulnerabilităţi marcate drept critice:

1. CVE-2023-21730 | Windows Cryptographic Services Elevation of Privilege (EoP) Vulnerability

CVE-2023-21730 [https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-202-21730] este un EoP în sistemele de operare Windows care a primit un scor CVSSv3 de 7,8. Vulnerabilitatea există în Windows Cryptographic Services, o suită de utilitare criptografice în sistemele de operare Windows. Vulnerabilitatea poate fi exploatată de un atacator la distanță, neautentificat. Exploatarea nu necesită interacțiunea utilizatorului și are o complexitate scăzută a atacului.

2. CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 and CVE-2023-21679 | Windows Layer 2 Tunneling Protocol (L2TP) Remote Code Execution (RCE) Vulnerabilities

CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 și CVE-2023-21679 sunt vulnerabilități RCE în sistemele de operare Windows, toate având un scor CVSSv3 de 8,1. Vulnerabilitățile pot fi exploatate de către un atacator de la distanță, neautentificat, care vizează o mașină care acționează ca un server de acces la distanță. Cu toate acestea, vulnerabilitățile au o complexitate mare a atacului, ceea ce înseamnă că atacatorul va trebui să efectueze acțiuni asupra țintei înainte de exploatare pentru ca aceasta să aibă succes. Discovery este creditat lui RyeLv pentru CVE-2023-21543, iar Yuki Chen cu Cyber KunLun pentru celelalte.

Vulnerabilităţi marcate drept importante:

1. CVE-2023-21674 | Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability

CVE-2023-21674 este o vulnerabilitate EoP în sistemele de operare Windows care a primit un scor CVSSv3 de 8,8 și a fost exploatată ca vulnerabilitate de tip zero-day. Vulnerabilitatea există în funcționalitatea Advanced Local Procedure Call (ALPC). ALPC este un utilitar de transmitere a mesajelor în sistemele de operare Windows. Când este exploatat, un atacator poate valorifica vulnerabilitatea pentru a ieși din sandbox-ul din Chromium și a obține privilegii de execuție la nivel de kernel.

2. CVE-2023-21760, CVE-2023-21765, CVE-2023-21678 | Windows Print Spooler Elevation of Privilege Vulnerabilities

CVE-2023-21760, CVE-2023-21765 și CVE-2023-21678 sunt vulnerabilități EoP în Windows Print Spooler. Cele trei vulnerabilități au primit un scor CVSSv3 de 7,8 și sunt evaluate drept „Exploatarea mai puțin probabilă”. CVE-2023-21678 a fost dezvăluit către Microsoft de către Agenția Națională de Securitate (NSA). Aceasta continuă o tendință observată anul trecut, în care NSA a dezvăluit trei vulnerabilități în Print Spooler, începând cu CVE-2022-29104 și CVE-2022-29132 în mai 2022 și ducând la CVE-2022-38028 în octombrie 2022. Datorită ubicuității Windows Print Spooler, acesta a văzut interesul continuu al cercetătorilor și al atacatorilor ca o țintă ideală de la descoperirea PrintNightmare și se așteaptă ca această tendință să continue în viitorul apropiat.

3. CVE-2023-21763 and CVE-2023-21764 | Microsoft Exchange Server Elevation of Privilege Vulnerabilities

CVE-2023-21763 și CVE-2023-21764 sunt vulnerabilități EoP din Microsoft Exchange Server care au primit scoruri CVSSv3 de 7,8 și ar putea acorda privilegii de sistem unui atacator autentificat.

4. CVE-2023-21745 and CVE-2023-21762 | Microsoft Exchange Server Spoofing Vulnerabilities

CVE-2023-21745 și CVE-2023-21762 sunt vulnerabilități de tip spoofing în Microsoft Exchange Server, care au primit ambele scor CVSSv3 de 8,0. Cu toate acestea, aceste vulnerabilități au caracteristici distincte unele de altele. CVE-2023-21745 poate fi exploatat de un atacator adiacent – fie prin intermediul rețelei locale, fie prin internet – și a fost evaluat drept „Exploatarea mai probabilă”. Pe de altă parte, CVE-2023-21762 necesită, de asemenea, un atacator adiacent, dar este restricționat la o rețea fizică sau locală partajată sau un „domeniu administrativ limitat”. Exploatarea cu succes ar putea duce la dezvăluirea hashurilor New Technology LAN Manager (NTLM) și a atacurilor de retransmisie NTLM.

5. CVE-2023-21746 | Windows NTLM Elevation of Privilege Vulnerability

CVE-2023-21746 este o vulnerabilitate EoP în Windows NTLM care a primit un scor CVSSv3 de 7,8 și a fost evaluată ca „Exploatare mai puțin probabilă”. Exploatarea cu succes ar permite unui atacator să obțină privilegii de sistem.
În scopul sporirii protecției și evitării unui potențial atac, Echipa CERT Orange Moldova recomandă administratorilor aplicarea urgentă a patch-urilor și efectuarea actualizărilor disponibile.
În cazul în care sunteți ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 sau 022977700 pentru a primi suport instant.