Microsoft lanzó sus actualizaciones del martes de parches para octubre de 2023, abordando un total de 103 fallas en su software, dos de las cuales han sido explotadas activamente en la naturaleza.
De los 103 defectos, 13 están clasificados como Críticos y 90 como Importantes en cuanto a su gravedad. Esto se suma a las 18 vulnerabilidades de seguridad abordadas en su navegador Edge basado en Chromium desde el segundo martes de septiembre.
Las dos vulnerabilidades que se han convertido en armas de día cero son las siguientes:
- CVE-2023-36563 (puntuación CVSS: 6,5): una vulnerabilidad de divulgación de información en Microsoft WordPad que podría provocar la filtración de hashes NTLM
- CVE-2023-41763 (puntuación CVSS: 5,3): una vulnerabilidad de escalada de privilegios en Skype Empresarial que podría provocar la exposición de información confidencial como direcciones IP o números de puerto (o ambos), permitiendo a los actores de amenazas obtener acceso a redes internas.
«Para explotar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Luego, un atacante podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado», dijo Microsoft en un aviso para CVE-2023. -36563.
«Además, un atacante podría convencer a un usuario local para que abra un archivo malicioso. El atacante tendría que convencer al usuario de que haga clic en un vínculo, generalmente a través de un incentivo en un correo electrónico o mensaje instantáneo, y luego convencerlo de que abra el archivo especialmente archivo elaborado.»
Redmond también solucionó docenas de fallas que afectan a Microsoft Message Queuing (MSMQ) y al protocolo de túnel de capa 2 y que podrían conducir a la ejecución remota de código y a la denegación de servicio (DoS).
La actualización de seguridad resuelve además un error grave de escalada de privilegios en Windows IIS Server (CVE-2023-36434, puntuación CVSS: 9,8) que podría permitir a un atacante hacerse pasar por otro usuario e iniciar sesión como otro mediante un ataque de fuerza bruta.
El gigante tecnológico también lanzó una actualización para CVE-2023-44487 , también conocido como ataque HTTP/2 Rapid Reset, que ha sido explotado por actores desconocidos como un día cero para organizar una denegación de servicio distribuida hipervolumétrica. (DDoS) ataques.
«Si bien este DDoS tiene el potencial de afectar la disponibilidad del servicio, por sí solo no compromete los datos de los clientes, y en este momento no hemos visto evidencia de que los datos de los clientes hayan sido comprometidos», dijo .
Finalmente, Microsoft ha anunciado que Visual Basic Script (también conocido como VBScript), que a menudo se explota para la distribución de malware , está en desuso y agregó que «en futuras versiones de Windows, VBScript estará disponible como una característica bajo demanda antes de su eliminación del sistema operativo». sistema.»
Fuente y redacción: thehackernews.com