Microsoft: Desenvolvedora lança atualização de março para Windows com correção de 83 vulnerabilidades

Destas, duas são consideradas "vulnerabilidades de dia zero"

A Microsoft anunciou nesta terça-feira (14) uma importante atualização de segurança em sua "Terça-feira do Patch" de março, que visa solucionar 83 vulnerabilidades em seus sistemas.


Destas, duas são consideradas "vulnerabilidades de dia zero", ou seja, falhas de segurança que ainda não eram conhecidas publicamente e que já estão sendo exploradas por hackers e cibercriminosos.

 

Os patches KB5023696 e KB5023697 do Windows 10 estão sendo lançados para tratar questões de sistema e segurança em várias versões do sistema operacional, incluindo o Windows Server 2016. Essas atualizações são obrigatórias e serão instaladas automaticamente por meio do Windows Update, a menos que o usuário tenha realizado uma instalação modificada ou bloqueada. Além disso, uma pequena correção de segurança e hiperlinks no Excel foi disponibilizada para o Windows 10 1507 por meio do patch KB5023713.

O número de bugs em cada categoria de vulnerabilidade é listado abaixo:

  • 21 Vulnerabilidades de Elevação de Privilégio
  • 2 Vulnerabilidades de Bypass de Recursos de Segurança
  • 27 Vulnerabilidades de Execução Remota de Código
  • 15 Vulnerabilidades de Divulgação de Informações
  • 4 Vulnerabilidades de Negação de Serviço
  • 10 Vulnerabilidades de Spoofing
  • 1 Vulnerabilidade do Edge - Chromium
 

Vulnerabilidades de dia zero

As duas vulnerabilidades de dia zero exploradas ativamente corrigidas nas atualizações de hoje são:

CVE-2023-23397 - Vulnerabilidade de elevação de privilégio do Microsoft Outlook

A Microsoft corrigiu uma falha no Microsoft Outlook que permitia que e-mails maliciosos forçassem um dispositivo a se conectar a um site externo controlado por hackers. Isso vazava informações do sistema e permitia que o invasor se autenticasse como a vítima em outros serviços. A vulnerabilidade poderia ser explorada antes mesmo de o e-mail ser lido, o que a torna particularmente perigosa.

 


A Microsoft alerta que essa falha aciona automaticamente quando um servidor de e-mail processa a mensagem maliciosa, portanto, os usuários podem ser afetados sem nem mesmo abrir o e-mail. O grupo de hackers russo STRONTIUM foi identificado como tendo explorado a vulnerabilidade para roubar e-mails de contas específicas. A Microsoft alertou sobre a vulnerabilidade, e várias organizações de segurança cibernética confirmaram a existência da falha.

 

CVE-2023-24880 - Vulnerabilidade de desvio do recurso de segurança do Windows SmartScreen

A Microsoft corrigiu uma vulnerabilidade de dia zero que estava sendo explorada ativamente no Windows SmartScreen. Essa vulnerabilidade permitia que um invasor criasse um arquivo malicioso que contornasse as defesas de segurança do sistema, resultando em uma perda limitada de integridade e disponibilidade de recursos de segurança. A vulnerabilidade foi descoberta pelo Google Threat Analysis Group, que identificou que estava sendo explorada pelo ransomware Magniber. O Google TAG descobriu que essa vulnerabilidade era um desvio para outra vulnerabilidade (CVE-2022-44698) que já havia sido explorada pelo Magniber e corrigida pela Microsoft em dezembro.


Os invasores usaram arquivos JavaScript assinados e autônomos com uma assinatura malformada para explorar essa vulnerabilidade, o que fez com que o Windows SmartScreen ignorasse os avisos de segurança. Depois que a Microsoft corrigiu a vulnerabilidade anterior, o Google descobriu que o Magniber começou a usar assinaturas de autenticação malformadas em arquivos MSI para contornar a correção.

 

O Google explicou que isso foi causado pela Microsoft corrigir apenas o abuso do arquivo JavaScript relatado inicialmente, em vez de corrigir a causa raiz do problema. A vulnerabilidade foi divulgada por pesquisadores do Google e da Microsoft.

E aí, o que achou? Aproveite para acompanhar o Portal Vovo GaTu no Twitter [1] [2], Instagram, Facebook, TikTok, Koo App e no Youtube!

Continue acompanhando o Portal Vovo GaTu para ficar por dentro de outros conteúdos de entretenimento!


Fonte:  
           Vovo GaTu, TechPowerUp

--------------------------------------------------------------------------------------
Enfim, gosta do Portal Vovo GaTu😍?
Siga-nos nas redes sociais. 
Fique por dentro das noticias, e nao perca nada!😄 Contamos consigo!

Assine as notificações de Feed do Site ou entre em nosso Canal de  Noticias no Discord, há, e nos adicione ãos favoritos do seu navegador.

Conheça nossa EquipeHerley costa:
É o editor chefe e criador do canal do Vovo Gatu, supervisiona todos os conteúdos publicados diariamente, mas faz um pouco de tudo, desde notícias, análises a vídeos, tutoriais e lives para o nosso canal do Youtube. Gosta de experimentar todo o tipo de jogos, mas prefere, mundos abertos e jogos online com longa longevidade. Um grande apaixonado por vídeo games e filmes desde criança, nunca deixou de jogar ou assistir um filme praticamente por todos os dias desde que se conhece por gente.

Me siga nas redes sociais
Clique para abrir meu FacebookClique para abrir meu InstagramClique para abrir meu TwitterClique para abrir meu canal do YoutubeClique para abrir meu LinkedinClique para abrir meu perfil de musica no DeezerClique para abrir meu grupo no WhatsappClique para abrir meu perfil no PinterestClique para abrir meu perfil no VKontakte - VKClique para abrir meu perfil de musica no SpotiFy
--------------------------------------------------------------------------------------
Postagem Anterior Proxima Postagem