Microsoft zavádí záplaty pro 80 nových bezpečnostních chyb – dvě pod aktivním útokem

Aktualizace Patch Tuesday od společnosti Microsoft pro březen 2023 vychází s opravami pro sadu 80 bezpečnostních chyb, z nichž dvě byly aktivně využívány ve volné přírodě.

17. 3. 2023

Osm z 80 chyb je hodnoceno jako kritické, 71 je hodnoceno jako důležité a jedna je hodnocena jako středně závažná. Aktualizace doplňují 29 nedostatků, které technický gigant v posledních týdnech opravil ve svém prohlížeči Edge založeném na Chromiu.

Mezi dvě zranitelnosti, které se staly aktivním útokem, patří chyba eskalace oprávnění Microsoft Outlook (CVE-2023-23397, CVSS skóre: 9,8) a obejití bezpečnostní funkce Windows SmartScreen (CVE-2023-24880, CVSS skóre: 5,1).

CVE-2023-23397 se „spustí, když útočník odešle zprávu s rozšířenou vlastností MAPI s cestou UNC do sdílené složky SMB (TCP 445) na serveru ovládaném aktérem hrozeb,“ uvedl Microsoft v samostatném upozornění.

Aktér ohrožení by mohl tuto chybu využít odesláním speciálně vytvořeného e-mailu a jeho automatickou aktivací, když je načten a zpracován klientem Outlook pro Windows. V důsledku toho by to mohlo vést ke zneužití, aniž by byla vyžadována jakákoliv interakce uživatele, a ještě před zobrazením zprávy v podokně náhledu.

CVE-2023-24880 se na druhé straně týká chyby v bezpečnostním bypassu, která by mohla být zneužita k vyhnutí se ochranám Mark-of-the-Web (MotW) při otevírání nedůvěryhodných souborů stažených z internetu. Je to také důsledek úzké opravy vydané společností Microsoft k vyřešení další chyby obcházení SmartScreen (CVE-2022-44698, skóre CVSS: 5,4), která vyšla najevo v loňském roce a kterou využili finančně motivovaní aktéři k dodání ransomwaru Magniber.

„Prodejci často uvolňují úzké záplaty, čímž vytvářejí příležitost pro útočníky opakovat a objevovat nové varianty,“ uvedl ve zprávě Benoit Sevens, výzkumník Google Threat Analysis Group (TAG).

Zveřejnění přichází poté, co americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala tyto dvě chyby do katalogu známých zneužitých zranitelností (KEV) a oznámila nový pilotní program, jehož cílem je varovat subjekty kritické infrastruktury před zranitelnostmi běžně spojenými se známým zneužíváním ransomwaru.

Zdroje

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.