Microsoft ha rilasciato gli aggiornamenti del Patch Tuesday di ottobre 2023, risolvendo un totale di 103 problemi di sicurezza nel suo software, due dei quali sono stati sfruttati attivamente.
Grado di pericolosità dei bug
Dei 103 difetti, 13 sono classificati come critici e 90 sono classificati come severità importanti. Ciò non contempla, come sempre, 18 vulnerabilità di sicurezza risolte precedentemente nel browser Edge basato su Chromium.
2 Vulnerabilità Zero-Day
Le due vulnerabilità che sono state classificate come zero-day sono le seguenti:
- CVE-2023-36563 (punteggio CVSS: 6,5): una vulnerabilità legata alla divulgazione di informazioni in Microsoft WordPad;
- CVE-2023-41763 (punteggio CVSS: 5,3): una vulnerabilità di escalation dei privilegi in Skype for Business che potrebbe portare all’esposizione di informazioni sensibili come indirizzi IP o numeri di porta (o entrambi), consentendo agli autori delle minacce di ottenere l’accesso alle reti interne.
Relativamente alla prima delle due vulnerabilità zero-day, Microsoft ha dichiarato che “per sfruttarla, un utente malintenzionato dovrebbe prima accedere al sistema. Un utente malintenzionato potrebbe poi eseguire un’applicazione appositamente predisposta in grado di sfruttare la vulnerabilità e prendere il controllo del sistema interessato“.
“Inoltre, un malintenzionato potrebbe convincere un utente locale ad aprire un file dannoso. L’hacker dovrebbe convincere l’utente a fare clic su un collegamento, in genere tramite un messaggio di posta elettronica o istantaneo, e quindi convincerlo ad aprire il file appositamente file creato.”
Altre vulnerabilità risolte dal Patch Tuesday di ottobre 2023
Microsoft ha risolto anche altre decine di difetti che influiscono su Microsoft Message Queuing (MSMQ) e sul protocollo Layer 2 Tunneling che potrebbero portare all’esecuzione di codice in modalità remota e alla modalità di attacco Denial of Service (DoS).
L’aggiornamento di sicurezza risolve inoltre un grave bug di escalation dei privilegi nel server Windows IIS (CVE-2023-36434, punteggio CVSS: 9,8) che potrebbe consentire a un utente malintenzionato di impersonare e accedere come un altro utente tramite un attacco di tipo brute force.
Microsoft ha anche rilasciato un aggiornamento per CVE-2023-44487, noto anche come attacco HTTP/2 Rapid Reset, che è stato sfruttato da attori sconosciuti come zero-day per mettere in scena un Denial of Service distribuito (DDoS).
“Anche se questo DDoS ha il potenziale per incidere sulla disponibilità del servizio, da solo non porta alla compromissione dei dati dei clienti, e in questo momento non abbiamo visto alcuna prova che i dati dei clienti siano stati compromessi“, ha affermato.
Infine, Microsoft ha annunciato che Visual Basic Script (noto anche come VBScript), spesso sfruttato per la distribuzione di malware, sarà deprecato, aggiungendo: “nelle versioni future di Windows, VBScript sarà disponibile come funzionalità on demand prima della sua rimozione dal sistema operativo“.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per maggiori informazioni in materia di cyber security: