O primeiro Patch Tuesday de 2023 da Microsoft corrige 98 vulnerabilidades, com onze delas classificadas como críticas. A empresa atribuiu às vulnerabilidades essa classificação de gravidade, pois elas permitem a execução remota de código, contornam recursos de segurança ou elevam privilégios. Além disso, ele corrige uma vulnerabilidade de dia zero, uma explorada ativamente e a outra divulgada publicamente.
O número de bugs em cada categoria de vulnerabilidade está listado a seguir:
- 39 Vulnerabilidades de elevação de privilégio
- 4 vulnerabilidades de desvio de recurso de segurança
- 33 Vulnerabilidades de Execução Remota de Código
- 10 vulnerabilidades de divulgação de informações
- 10 vulnerabilidades de negação de serviço
- 2 Vulnerabilidades de falsificação
- 1 dia zero fixo
A Microsoft classifica uma vulnerabilidade como dia zero se for divulgada publicamente ou explorada ativamente sem nenhuma correção oficial disponível. A vulnerabilidade de dia zero explorada ativamente corrigida nas atualizações desta terça-feira foi rastreada como CVE-2023-21674 e classificada como de elevação de privilégio em eventos avançados de chamada de procedimento local (ALPC) do Windows. Ela foi descoberta por Jan Vojtěšek, Milánek e Przemek Gmerek pesquisadores de segurança da Avast.
Veja isso
Microsoft corrige dois dias zero no Patch Tuesday de dezembro
Microsoft lança update out-of-band após Patch Tuesday
A Microsoft afirma que esta é uma vulnerabilidade de escape do Sandbox que pode levar à elevação de privilégios. “Um invasor que explorar com sucesso esta vulnerabilidade pode obter privilégios de sistema”, explica o comunicado da Microsoft.
Não está claro como operadores de ameaças usaram essa vulnerabilidade em ataques.
A Microsoft afirmou que o CVE-2023-21549, vulnerabilidade de elevação de privilégio do Windows SMB Witness Service foi divulgado publicamente. No entanto, o pesquisador de segurança da Akamai, Stiv Kupchik, disse ao BleepingComputer que eles seguiram o processo de divulgação regular e que a vulnerabilidade não deveria ser classificada como divulgada publicamente.