A Microsoft lançou suas atualizações de Patch Tuesday para outubro de 2023, corrigindo um total de 103 falhas em seu software, duas das quais sofreram exploração ativa no mundo real.
Das 103 falhas, 13 são classificadas como Críticas e 90 como Importantes em severidade.
Isso sem contar com 18 vulnerabilidades de segurança abordadas em seu navegador Edge baseado em Chromium desde a segunda terça-feira de setembro.
As duas vulnerabilidades que foram transformadas em zero-days são as seguintes:
CVE-2023-36563
(pontuação CVSS: 6.5) - Uma vulnerabilidade de divulgação de informações no Microsoft WordPad que pode resultar no vazamento de hashes NTLM
CVE-2023-41763
(pontuação CVSS: 5.3) - Uma vulnerabilidade de escalonamento de privilégios no Skype for Business que pode levar à exposição de informações sensíveis, como endereços IP ou números de portas (ou ambos), permitindo que invasores acessem redes internas
"Para explorar essa vulnerabilidade, um invasor primeiro teria que fazer login no sistema.
Um invasor poderia então executar uma aplicação especialmente criada que poderia explorar a vulnerabilidade e assumir o controle de um sistema afetado", disse a Microsoft em um aviso para o
CVE-2023-36563
.
"Além disso, um invasor poderia convencer um usuário local a abrir um arquivo malicioso.
O invasor teria que convencer o usuário a clicar em um link, geralmente por meio de um incentivo em um e-mail ou mensagem instantânea, e depois convencê-lo a abrir o arquivo especialmente criado."
Também corrigidos pela Microsoft estão dezenas de falhas que afetam o Microsoft Message Queuing (MSMQ) e o Protocolo de Tunelamento em Camada 2 que poderiam levar à execução remota de código e à negação de serviço (DoS).
A atualização de segurança também resolve um grave bug de escalonamento de privilégios no servidor IIS do Windows (
CVE-2023-36434
, pontuação CVSS: 9.8) que poderia permitir a um invasor se passar e fazer login como outro usuário através de um ataque de força bruta.
A gigante da tecnologia também lançou uma atualização para o
CVE-2023-44487
, também referido como o ataque de redefinição rápida HTTP/2, que foi explorado por atores desconhecidos como um zero-day para lançar ataques de negação de serviço distribuído (DDoS) de alto volume.
"Embora esse DDoS tenha o potencial de impactar a disponibilidade do serviço, ele sozinho não leva ao comprometimento dos dados do cliente e, até o momento, não vimos evidências de que os dados do cliente tenham sido comprometidos", disse.
Por fim, a Microsoft anunciou que o Visual Basic Script (também conhecido como VBScript), que é frequentemente explorado para a distribuição de malware, será depreciado, adicionando que "em futuras versões do Windows, o VBScript estará disponível como um recurso sob demanda antes de sua remoção do sistema operacional".
Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores desde o início do mês para corrigir várias vulnerabilidades, incluindo —
Adobe
AMD
Android
Projetos Apache
Apple
Redes Aruba
Arm
Atlassian
Atos
Cisco
Citrix
CODESYS
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Energia Hitachi
HP
IBM
Redes Juniper
Lenovo
Distribuições Linux Debian, Oracle Linux, Red Hat, SUSE e Ubuntu
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR e Thunderbird
Qualcomm
Samba
Samsung
SAP
Schneider Electric
Siemens
Sophos, e
VMware
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...