O Patch Tuesday da Microsoft já é um clássico, mas está se tornando cada vez mais importante. As empresas devem, portanto, sempre corrigir os sistemas imediatamente. Duas vulnerabilidades atuais de dia zero não são classificadas como extremamente altas, com uma pontuação CVSSv3 de 6.2 e 7.8, respectivamente, mas estão sendo atacadas atualmente porque são muito difundidas.
O Patch Tuesday deste mês inclui correções para 61 CVEs, cinco dos quais são classificados como críticos, 55 como importantes e um como moderado. A Microsoft também corrigiu duas vulnerabilidades de dia zero que já foram exploradas. Satnam Narang, engenheiro sênior de pesquisa da Tenable, comentou sobre o Patch Tuesday deste mês..
Sempre vale a pena atacar a palavra
CVE-2023-36761 é uma vulnerabilidade de exposição de informações no Microsoft Word classificada como Importante com uma pontuação CVSSv3 de 6.2. A exploração desta vulnerabilidade não se limita a uma vítima de ataque abrir um documento malicioso do Word. Apenas visualizar o arquivo pode fazer com que a vulnerabilidade seja explorada. A exploração permitiria a divulgação de hashes do New Technology LAN Manager (NTLM). Esta é a segunda vulnerabilidade de dia zero em produtos Microsoft em 2023 que levou à divulgação de hashes NTLM. A primeira foi CVE-2023-23397, uma vulnerabilidade no Microsoft Outlook que foi divulgada no lançamento do Patch Tuesday de março.
CVSS 7.8: serviço de streaming da Microsoft
CVE-2023-36802 é uma vulnerabilidade no Microsoft Streaming Service Proxy que tem uma pontuação CVSSv3 de 7.8 e é classificada como importante. Esta é a oitava vulnerabilidade elevada de dia zero explorada em estado selvagem em 2023. Os invasores têm inúmeras maneiras de invadir empresas. Simplesmente obter acesso a um sistema nem sempre é suficiente. As vulnerabilidades de elevação de privilégios tornam-se ainda mais valiosas, especialmente em ataques de dia zero.”
Das correções de 61 CVEs, apenas cinco foram classificadas como críticas. No entanto, as lacunas críticas afetam muitos produtos e módulos da Microsoft. Portanto, recomendamos dar uma olhada na lista de todos os patches mencionados publicada pela Microsoft.
Mais em Microsoft.com
Sobre a Microsoft Alemanha A Microsoft Deutschland GmbH foi fundada em 1983 como subsidiária alemã da Microsoft Corporation (Redmond, EUA). A Microsoft está empenhada em capacitar cada pessoa e cada organização do planeta para alcançar mais. Esse desafio só pode ser superado em conjunto, por isso a diversidade e a inclusão estão firmemente ancoradas na cultura corporativa desde o início. Como fabricante líder mundial de soluções produtivas de software e serviços modernos na era da nuvem inteligente e borda inteligente, bem como desenvolvedora de hardware inovador, a Microsoft se vê como parceira de seus clientes para ajudá-los a se beneficiar da transformação digital. Segurança e privacidade são prioridades no desenvolvimento de soluções. Como o maior colaborador do mundo, a Microsoft impulsiona a tecnologia de código aberto por meio de sua plataforma de desenvolvimento líder, o GitHub. Com o LinkedIn, a maior rede de carreiras, a Microsoft promove o networking profissional em todo o mundo.