Microsoft verëffentlecht Januar 2023 Patch Dënschdeg Updates, warnt vun Null-Day Exploit

Déi éischt Patch Tuesday Fixes, déi vu Microsoft fir 2023 geliwwert goufen, hunn insgesamt 98 Sécherheetsfehler adresséiert, dorënner ee Käfer, deen d’Firma gesot huet, aktiv an der Wild exploitéiert gëtt.

11 vun den 98 Themen si kritesch bewäert an 87 si wichteg an der Gravitéit bewäert, mat enger vun de Schwachstelle gëtt och als ëffentlech bekannt zum Zäitpunkt vun der Verëffentlechung opgezielt. Separat gëtt de Windows Hiersteller erwaart Updates fir säi Chromium-baséiert Edge Browser ze verëffentlechen.

D’Schwachheet, déi ënner Attack ass, bezitt sech op CVE-2023-21674 (CVSS Score: 8.8), e Privileg Eskalatiounsfehler am Windows Advanced Local Procedure Call (ALPC), dee vun engem Ugräifer exploitéiert ka ginn fir SYSTEM Permissiounen ze kréien.

“Dës Schwachstelle kéint zu engem Browser Sandbox Flucht féieren,” huet Microsoft an engem Berodung bemierkt, de Avast Fuerscher Jan Vojtěšek, Milánek a Przemek Gmerek kreditt fir de Feeler ze berichten.

Wärend Detailer vun der Schwachstelle nach ëmmer ënner Wraps sinn, erfuerdert en erfollegräichen Ausbeutung datt en Ugräifer schonn eng initial Infektioun um Host kritt huet. Et ass och méiglech datt de Feeler kombinéiert mat engem Feeler, deen am Webbrowser präsent ass, fir aus der Sandkëscht erauszekréien an erhéicht Privilegien ze kréien.

“Wann den éischte Foussgänger gemaach ass, wäerten Ugräifer kucken fir iwwer e Netzwierk ze plënneren oder zousätzlech méi héije Niveauen vum Zougang ze kréien an dës Aarte vu Privileg Eskalatiounsschwieregkeeten sinn e Schlësseldeel vun deem Ugräifer Playbook,” Kev Breen, Direkter vun der Cyber ​​Bedrohung Fuerschung bei Immersive Labs, gesot.

Dat gesot, d’Chancen datt eng Ausbeutungskette wéi dës verbreet agestallt gëtt ass limitéiert wéinst der Auto-Update Feature benotzt fir Browser ze patchen, sot de Satnam Narang, Senior Staff Research Engineer bei Tenable.

Et ass och derwäert ze bemierken datt d’US Cybersecurity and Infrastructure Security Agency (CISA) d’Schwachheet zu hirem Bekannten Exploitéierten Vulnerabilities (KEV) Katalog bäigefüügt huet, fir d’Federal Agenturen opzefuerderen Patches bis den 31. Januar 2023 z’applizéieren.

Wat méi ass, CVE-2023-21674 ass de véierte sou Feeler, deen an der ALPC identifizéiert gëtt – eng Inter-Prozess Kommunikatioun (IPC) Ariichtung, déi vum Microsoft Windows Kernel geliwwert gëtt – no CVE-2022-41045, CVE-2022-41093, an CVE-2022 -41100 (CVSS Scores: 7.8), déi lescht dräi vun deenen am November 2022 ugeschloss goufen.

Zwee aner Privileg Eskalatioun Schwachstelle identifizéiert als héich Prioritéit beaflossen Microsoft Exchange Server (CVE-2023-21763 an CVE-2023-21764, CVSS Scores: 7.8), déi aus engem onkomplett Patch fir CVE-2022-41123 staamt, laut Qualys .

“En Ugräifer kéint Code mat SYSTEM-Niveau Privilegien ausféieren andeems en haart kodéierte Dateiwee ausnotzen”, sot de Saeed Abbasi, Manager vu Schwachstelle a Bedrohungsfuerschung bei Qualys, an enger Ausso.

Och vu Microsoft geléist ass e Sécherheetsfeature Contournement am SharePoint Server (CVE-2023-21743, CVSS Score: 5.3) deen en onauthentifizéierten Ugräifer erlaabt d’Authentifikatioun z’ënnerhalen an eng anonym Verbindung ze maachen. Den Tech Ris notéiert “Clienten mussen och eng SharePoint Upgrade Aktioun ausléisen an dësem Update abegraff fir hiren SharePoint Bauerenhaff ze schützen.”

De Januar Update remedéiert weider eng Zuel vu Privileg Eskalatiounsfehler, dorënner een am Windows Credential Manager (CVE-2023-21726, CVSS Score: 7.8) an dräi déi de Print Spooler Komponent beaflossen (CVE-2023-21678, CVE-2023-21760, an CVE-2023-21765).

D’US National Security Agency (NSA) gouf kreditéiert mat Bericht CVE-2023-21678. Am Ganzen, 39 vun de Schwachstelle, déi Microsoft a sengem leschten Update zougemaach huet, erlaben d’Erhéiung vu Privilegien.

Ronderëm d’Lëscht ass CVE-2023-21549 (CVSS Score: 8.8), eng ëffentlech bekannt Héicht vun der Privilegierlechkeet am Windows SMB Witness Service, an eng aner Instanz vu Sécherheetsfeature Bypass déi BitLocker beaflosst (CVE-2023-21563, CVSS Score: 6.8).

“En erfollegräichen Ugräifer kéint d’BitLocker Device Encryption Feature um Systemspeichergerät ëmgoen”, sot Microsoft. “En Ugräifer mat kierperlechen Zougang zum Zil kéint dës Schwachstelle ausnotzen fir Zougang zu verschlësselte Donnéeën ze kréien.”

Viru kuerzem huet Redmond seng Richtlinnen iwwer déi béiswëlleg Notzung vun ënnerschriwwene Chauffeuren iwwerschafft (genannt Bring Your Own Vulnerable Driver) fir eng aktualiséiert Blocklëscht opzehuelen, déi als Deel vu Windows Sécherheetsupdates den 10. Januar 2023 verëffentlecht gouf.

CISA en Dënschdeg huet och CVE-2022-41080, en Exchange Server Privileg Eskalatiounsfehler, an de KEV Katalog bäigefüügt no Berichter datt d’Schwachheet niewent dem CVE-2022-41082 gekettelt gëtt fir d’Remote Code Ausféierung op vulnérabel Systemer z’erreechen.

Den Exploit, Codenumm OWASSRF vum CrowdStrike, gouf vun de Play Ransomware Akteuren benotzt fir Zil-Ëmfeld ze briechen. D’Mängel goufe vu Microsoft am November 2022 fixéiert.

D’Patch Tuesday Updates kommen och un wéi Windows 7, Windows 8.1, a Windows RT Enn vun der Ënnerstëtzung den 10. Januar 2023 erreecht hunn. Microsoft sot et wäert keen Extended Security Update (ESU) Programm fir Windows 8.1 ubidden, anstatt d’Benotzer opzefuerderen Upgrade op Windows 11.

“Weider Windows 8.1 nom 10. Januar 2023 ze benotzen, kann d’Belaaschtung vun enger Organisatioun u Sécherheetsrisiken erhéijen oder hir Fäegkeet beaflossen fir d’Konformitéitsverpflichtungen z’erhalen”, huet d’Firma gewarnt.

Software Patches vun anere Verkeefer

Zousätzlech zu Microsoft sinn och Sécherheetsupdates zënter dem Ufank vum Mount vun anere Verkeefer verëffentlecht ginn fir verschidde Schwachstelle ze korrigéieren, dorënner –

Hutt Dir dësen Artikel interessant fonnt? Follegt eis weider Twitter an LinkedIn fir méi exklusiv Inhalt ze liesen déi mir posten.

.

Leave a Comment

Your email address will not be published. Required fields are marked *