Microsoft ha lanzado sus actualizaciones del martes de parches para octubre de 2023, que abordan un total de 103 defectos en su software, dos de los cuales han sido objeto de explotación activa en la naturaleza.
De los 103 defectos, 13 están clasificados como Críticos y 90 como Importantes en cuanto a su gravedad. Esto es aparte de 18 vulnerabilidades de seguridad abordado en su navegador Edge basado en Chromium desde el segundo martes de septiembre.
Las dos vulnerabilidades que se han convertido en armas de día cero son las siguientes:
- CVE-2023-36563 (Puntuación CVSS: 6,5): una vulnerabilidad de divulgación de información en Microsoft WordPad que podría provocar la filtración de hashes NTLM
- CVE-2023-41763 (Puntuación CVSS: 5,3): una vulnerabilidad de escalada de privilegios en Skype Empresarial que podría provocar la exposición de información confidencial como direcciones IP o números de puerto (o ambos), permitiendo a los actores de amenazas obtener acceso a redes internas.
«Para explotar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Luego, un atacante podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado», dijo Microsoft en un aviso para CVE-2023. -36563.
«Además, un atacante podría convencer a un usuario local para que abra un archivo malicioso. El atacante tendría que convencer al usuario de que haga clic en un vínculo, generalmente a través de un incentivo en un correo electrónico o mensaje instantáneo, y luego convencerlo de que abra el archivo especialmente archivo elaborado.»
Redmond también solucionó docenas de fallas que afectan a Microsoft Message Queuing (MSMQ) y al protocolo de túnel de capa 2 y que podrían conducir a la ejecución remota de código y a la denegación de servicio (DoS).
La actualización de seguridad resuelve aún más un grave error de escalada de privilegios en Windows IIS Server (CVE-2023-36434, puntuación CVSS: 9,8) que podría permitir a un atacante hacerse pasar por otro usuario e iniciar sesión como él mediante un ataque de fuerza bruta.
El gigante tecnológico también ha lanzado una actualización para CVE-2023-44487también conocido como ataque HTTP/2 Rapid Reset, que ha sido explotado por actores desconocidos como un día cero para realizar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
«Si bien este DDoS tiene el potencial de afectar la disponibilidad del servicio, por sí solo no compromete los datos de los clientes, y en este momento no hemos visto evidencia de que los datos de los clientes estén comprometidos», dijo. dicho.
Finalmente, Microsoft ha Anunciado que Visual Basic Script (también conocido como VBScript), que a menudo se explota para la distribución de malware, está en desuso, añadiendo que «en futuras versiones de Windows, VBScript estará disponible como una característica bajo demanda antes de su eliminación del sistema operativo».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad desde principios de mes para rectificar varias vulnerabilidades, entre ellas: