Microsoft a publié ses mises à jour du Patch Tuesday pour octobre 2023, traitant d’un total de 103 défauts dans ses logiciels, dont deux sont activement exploités dans la nature.
Sur les 103 failles, 13 sont classées critiques et 90 sont classées importantes en termes de gravité. Ceci est mis à part 18 failles de sécurité abordé dans son navigateur Edge basé sur Chromium depuis le deuxième mardi de septembre.
Les deux vulnérabilités qui ont été militarisées en tant que Zero Day sont les suivantes :
- CVE-2023-36563 (score CVSS : 6,5) – Une vulnérabilité de divulgation d’informations dans Microsoft WordPad qui pourrait entraîner une fuite de hachages NTLM
- CVE-2023-41763 (score CVSS : 5,3) – Une vulnérabilité d’élévation de privilèges dans Skype Entreprise qui pourrait conduire à l’exposition d’informations sensibles telles que des adresses IP ou des numéros de port (ou les deux), permettant aux acteurs malveillants d’accéder aux réseaux internes.
« Pour exploiter cette vulnérabilité, un attaquant devrait d’abord se connecter au système. Un attaquant pourrait ensuite exécuter une application spécialement conçue qui pourrait exploiter la vulnérabilité et prendre le contrôle d’un système affecté », a déclaré Microsoft dans un avis pour CVE-2023. -36563.
« De plus, un attaquant pourrait convaincre un utilisateur local d’ouvrir un fichier malveillant. L’attaquant devrait convaincre l’utilisateur de cliquer sur un lien, généralement au moyen d’une incitation dans un e-mail ou un message instantané, puis le convaincre d’ouvrir le fichier spécialement fichier contrefait. »
Redmond a également corrigé des dizaines de failles affectant Microsoft Message Queuing (MSMQ) et le protocole de tunneling de couche 2 qui pourraient conduire à l’exécution de code à distance et à un déni de service (DoS).
La mise à jour de sécurité résout en outre un problème grave bug d’élévation de privilèges dans Windows IIS Server (CVE-2023-36434, score CVSS : 9,8) qui pourrait permettre à un attaquant de se faire passer pour un autre utilisateur et de se connecter en tant qu’autre utilisateur via une attaque par force brute.
Le géant de la technologie a également publié une mise à jour pour CVE-2023-44487également appelée attaque HTTP/2 Rapid Reset, qui a été exploitée par des acteurs inconnus comme un jour zéro pour organiser des attaques par déni de service distribué (DDoS) hypervolumétriques.
« Bien que ces attaques DDoS puissent avoir un impact sur la disponibilité du service, elles ne conduisent pas à elles seules à compromettre les données des clients, et à l’heure actuelle, nous n’avons vu aucune preuve que les données des clients aient été compromises », précise-t-il. dit.
Enfin, Microsoft a annoncé que Visual Basic Script (alias VBScript), qui est souvent exploité pour la distribution de logiciels malveillants, est obsolète, ajoutant : « dans les futures versions de Windows, VBScript sera disponible en tant que fonctionnalité à la demande avant sa suppression du système d’exploitation ».
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :