Microsoft a publié ses mises à jour du Patch Tuesday pour octobre 2023, corrigeant un total de 103 failles dans ses logiciels, dont deux sont activement exploitées dans la nature.
Sur les 103 failles, 13 sont classées critiques et 90 sont classées importantes en termes de gravité. Ceci sans compter les 18 vulnérabilités de sécurité corrigées dans son navigateur Edge basé sur Chromium depuis le deuxième mardi de septembre.
Les deux vulnérabilités qui ont été militarisées en tant que Zero Day sont les suivantes :
- CVE-2023-36563 (score CVSS : 6,5) – Une vulnérabilité de divulgation d’informations dans Microsoft WordPad qui pourrait entraîner une fuite de hachages NTLM
- CVE-2023-41763 (score CVSS : 5,3) – Une vulnérabilité d’élévation de privilèges dans Skype Entreprise qui pourrait conduire à l’exposition d’informations sensibles telles que des adresses IP ou des numéros de port (ou les deux), permettant aux acteurs malveillants d’accéder aux réseaux internes.
« Pour exploiter cette vulnérabilité, un attaquant devrait d’abord se connecter au système. Un attaquant pourrait ensuite exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté », a déclaré Microsoft dans un avis pour CVE-2023. -36563.
« De plus, un attaquant pourrait convaincre un utilisateur local d’ouvrir un fichier malveillant. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement au moyen d’une incitation dans un e-mail ou un message instantané, puis le convaincre d’ouvrir le fichier spécialement fichier contrefait. »
Redmond a également corrigé des dizaines de failles affectant Microsoft Message Queuing (MSMQ) et le protocole de tunneling de couche 2 qui pourraient conduire à l’exécution de code à distance et à un déni de service (DoS).
La mise à jour de sécurité résout en outre un grave bug d’élévation de privilèges dans Windows IIS Server (CVE-2023-36434, score CVSS : 9,8) qui pourrait permettre à un attaquant de se faire passer pour un autre utilisateur et de se connecter en tant qu’autre utilisateur via une attaque par force brute.
Le géant de la technologie a également publié une mise à jour pour CVE-2023-44487, également appelée attaque HTTP/2 Rapid Reset, qui a été exploitée par des acteurs inconnus comme un jour zéro pour mettre en scène un déni de service distribué hyper-volumétrique. (DDoS).
« Bien que ces attaques DDoS puissent potentiellement avoir un impact sur la disponibilité des services, elles ne conduisent pas à elles seules à compromettre les données des clients, et à l’heure actuelle, nous n’avons vu aucune preuve de compromission des données des clients », a-t-il déclaré.
Enfin, Microsoft a annoncé que Visual Basic Script (alias VBScript), qui est souvent exploité pour la distribution de logiciels malveillants, était obsolète, ajoutant : « dans les prochaines versions de Windows, VBScript sera disponible en tant que fonctionnalité à la demande avant d’être supprimé du système d’exploitation. système. »
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :
