Společnost Microsoft vydala svou poslední sadu aktualizací Patch Tuesday pro rok 2023, čímž odstranila 33 nedostatků ve svém softwaru.
Z 33 nedostatků jsou čtyři hodnoceny jako kritické a 29 jako důležité z hlediska závažnosti. Opravy doplňují 18 chyb, které Microsoft řešil ve svém prohlížeči Edge založeném na Chromiu od vydání aktualizací Patch Tuesday pro listopad 2023.
Podle údajů z iniciativy Zero Day Initiative softwarový gigant v tomto roce opravil více než 900 nedostatků.
Zatímco žádná ze zranitelností není v době vydání uvedena jako veřejně známá nebo pod aktivním útokem, některé z významných jsou uvedeny níže:
CVE-2023-35628 (CVSS skóre: 8.1) – Chyba zabezpečení vzdáleného spuštění kódu platformy Windows MSHTML
CVE-2023-35630 (skóre CVSS: 8,8) – Chyba zabezpečení vzdáleného spuštění kódu sdílením internetového připojení (ICS)
CVE-2023-35636 (CVSS skóre: 6,5) – Chyba zabezpečení Microsoft Outlook zpřístupnění informací
CVE-2023-35639 (CVSS skóre: 8,8) – Chyba zabezpečení vzdáleného spuštění kódu ovladače Microsoft ODBC
CVE-2023-35641 (skóre CVSS: 8,8) – Chyba zabezpečení vzdáleného spuštění kódu sdílením internetového připojení (ICS)
CVE-2023-35642 (skóre CVSS: 6,5) – Chyba zabezpečení sdílení internetového připojení (ICS) – Denial-of-Service
CVE-2023-36019 (skóre CVSS: 9,6) – Chyba zabezpečení spoofingu konektoru Microsoft Power Platform
CVE-2023-36019 je také důležité, protože umožňuje útočníkovi odeslat speciálně vytvořenou adresu URL do cíle, což má za následek spuštění škodlivých skriptů v prohlížeči oběti na jejím počítači.
„Útočník by mohl zmanipulovat škodlivý odkaz, aplikaci nebo soubor, aby je zamaskoval jako legitimní odkaz nebo soubor, aby oklamal oběť,“ uvedl Microsoft v upozornění.
Aktualizace Microsoft Patch Tuesday také odstraňuje tři chyby v serverové službě Dynamic Host Configuration Protocol (DHCP), které by mohly vést k odmítnutí služby nebo zveřejnění informací:
CVE-2023-35638 (CVSS skóre: 7,5) – Chyba zabezpečení odmítnutí služby serveru DHCP
CVE-2023-35643 (CVSS skóre: 7,5) – Chyba zabezpečení zpřístupnění informací o službě DHCP Server
CVE-2023-36012 (CVSS skóre: 5,3) – Chyba zabezpečení zpřístupnění informací o službě DHCP
Zveřejnění přichází v době, kdy Akamai objevil novou sadu útoků proti doménám Active Directory, které používají servery Microsoft Dynamic Host Configuration Protocol (DHCP).
„Tyto útoky by mohly útočníkům umožnit podvrhnout citlivé DNS záznamy, což má za následek různé důsledky od krádeže pověření až po úplné kompromitování domény Active Directory,“ uvedl Ori David ve zprávě. „Útoky nevyžadují žádné přihlašovací údaje a fungují s výchozí konfigurací serveru Microsoft DHCP.“
Dopad těchto nedostatků může být významný, protože je lze zneužít ke zfalšování záznamů DNS na serverech Microsoft DNS, včetně neověřeného libovolného přepsání záznamu DNS.
Microsoft v reakci na zjištění uvedl, že „problémy jsou buď záměrné, nebo nejsou dostatečně závažné na to, aby je bylo možné opravit“, což vyžaduje, aby uživatelé zakázali dynamické aktualizace DHCP DNS, pokud nejsou vyžadovány, a zdrželi se používání DNSUpdateProxy.
Zdroj: thehackernews.com