В ходе сентябрьского «вторника обновлений» компания Microsoft устранила 59 уязвимостей (плюс пять уязвимостей Microsoft Edge и два сторонних бага в Electron и Autodesk) в своих продуктах, включая две активно эксплуатируемые хакерами уязвимости нулевого дня.
Хотя суммарно в этом месяце были исправлены 24 RCE-уязвимости, Microsoft сочла критическими только пять проблем — четыре ошибки, связанные с удаленным выполнением кода, а также уязвимость, связанную с повышением привилегий в Azure Kubernetes.
Что касается упомянутых выше уязвимостей нулевого дня, обе из них уже используются в атаках, а информация об одной было раскрыта еще до выхода патчей.
CVE-2023-36802 (7,8 балла по шкале CVSS) представляет собой узвимость повышения привилегий в Microsoft Streaming Service Proxy. Проблема, позволявшая злоумышленникам повысить привилегии до уровня SYSTEM, была обнаружена специалистами из DBAPPSecurity WeBin Lab, IBM X-Force, Microsoft Threat Intelligence и Microsoft Security Response Center.
CVE-2023-36761 (6,2 балла по шкале CVSS) связана с раскрытием информации в Microsoft Word и была обнаружена внутри компании, специалитсами Microsoft Threat Intelligence. Этот баг мог использоваться для хищения NTLM-хэшей при открытии документа (даже через панель предварительного просмотра). Затем эти NTLM-хэши могли быть взломаны или использованы в атаках типа NTLM Relay для получения доступа к учетной записи.
Как обычно, Microsoft пока не публикует никаких дополнительных подробностей об атаках с использованием этих багов, а также индикаторы компрометации, давая пользователям больше времени на установку патчей.
Также сентябрьские обновления устранили ряд RCE-уязвимостей, затрагивающих Internet Connection Sharing (ICS), Visual Studio, 3D Builder, Azure DevOps Server, Windows MSHTML, Microsoft Exchange Server, а также уязвимости повышения привилегий в ядре Windows, Windows GDI, Windows Common Log File System Driver, Office и так далее.
