A Microsoft corrigiu cinco vulnerabilidades críticas no Patch Tuesday de novembro, três das quais vêm sendo exploradas ativamente. As falhas de software atualmente visadas pelos operadores de ameaças incluem o CVE-2023-36036: um problema crítico de elevação de privilégio que afeta o Microsoft Windows 10 e posterior e o Microsoft Windows Server 2008 e posterior.
A vulnerabilidade, que requer acesso local, é de baixa complexidade, mas a sua exploração bem-sucedida permite que os invasores obtenham privilégios no nível do sistema.
O segundo dia zero explorado é o CVE-2023-36033, outra vulnerabilidade de elevação de privilégio, mas desta vez na biblioteca principal do Windows Desktop Window Manager (DWM). Ela também pode ser explorada localmente, com baixa complexidade e sem a necessidade de privilégios de alto nível ou interação do usuário.
O último dia zero do trio é o CVE-2023-36025, um bug de desvio de recurso de segurança no Windows SmartScreen, permitindo que invasores contornem verificações e prompts do Windows Defender SmartScreen, segundo Mike Walters. cofundador da Action1, no blog da empresa. “Ao contrário das outras vulnerabilidades mencionadas, esta tem um vetor de ataque de rede e requer interação do usuário, embora ainda mantenha baixa complexidade de ataque e não exija altos privilégios”, continua ele.
Veja isso
Patch Tuesday: Microsoft corrige quatro falhas de dia zero
Patch Tuesday: Microsoft corrige 97 bugs e uma falha de dia zero
“Para explorar essa falha, um usuário deve interagir com um atalho malicioso da Internet (. URL) ou um hiperlink direcionando para tal atalho. Essa exploração permite que os invasores impeçam que o Windows Smart Screen bloqueie malware”, explica Walters.
Os dois zero-days que foram divulgados publicamente, mas não estão sendo explorados, são uma falha de desvio de recurso de segurança no Microsoft Office (CVE-2023-36413) e um bug de negação de serviço no ASP.NET (CVE-2023-36038).
A Microsoft corrigiu um total de 58 vulnerabilidades de software no Patch Tuesday de novembro, embora apenas três tenham sido classificadas como críticas.
Para acompanhar as análises de Mike Walters no blog da Action1 clique aqui.
