Višestruke kritične ranjivosti u Microsoft proizvodima
Microsoftovo ažuriranje za rujan 2023. godine (September 2023 Patch Tuesday) obuhvaća sigurnosne nadogradnje za ukupno 59 ranjivosti, uključujući dvije ranjivosti nultog dana (engl. zero day) koje se aktivno iskorištavaju.
Tehnički detalji ranjivosti popravljenih ovim ažuriranjem:
Ovomjesečne zakrpe popravljaju dvije ranjivosti nultog dana koje se aktivno iskorištavaju, pri čemu je jedna od njih javno objavljena. Navedene ranjivosti nultog dana su:
-
CVE-2023-36802 - Ranjivost eskalacije ovlasti u Microsoft Streaming Service Proxy;
Microsoft je ispravio aktivno iskorištavanu ranjivost eskalacije lokalnih ovlasti. Napadač koji uspješno iskoristi ovu ranjivost može dobiti SYSTEM ovlasti. -
CVE-2023-36761 - Ranjivost otkrivanja informacija u Microsoft Word-u;
Microsoft je ispravio aktivno iskorištavanu ranjivost koja se može koristiti za krađu NTLM hashova prilikom otvaranja dokumenta, uključujući Prikazni okvir (engl. Preview Pane). Napadač može iskoristiti ovu ranjivost za otkrivanje NTLM hashova, koji bi se mogli koristiti u napadu s preusmjeravanjem NTLM-a (engl. NTLM relay-style attack).
Potpuna lista zahvaćenih proizvoda:
| Proizvod | CVE | CVSS |
| Microsoft Azure Kubernetes Service | CVE-2023-29332 | 7.5 |
| AzureDevOps | CVE-2023-33136 | 8.8 |
| Windows Cloud Files Mini Filter Driver | CVE-2023-35355 | 7.8 |
| Microsoft Identity Linux Broker | CVE-2023-36736 | 4.4 |
| 3D Viewer | CVE-2023-36739 | 7.8 |
| 3D Viewer | CVE-2023-36740 | 7.8 |
| Visual Studio Code | CVE-2023-36742 | 7.8 |
| Microsoft Exchange Server | CVE-2023-36744 | 8.0 |
| Microsoft Exchange Server | CVE-2023-36745 | 8.0 |
| Microsoft Exchange Server | CVE-2023-36756 | 8.0 |
| Microsoft Exchange Server | CVE-2023-36757 | 8.0 |
| Visual Studio | CVE-2023-36758 | 7.8 |
| Visual Studio | CVE-2023-36759 | 6.7 |
| 3D Viewer | CVE-2023-36760 | 7.8 |
| Microsoft Office Word | CVE-2023-36761 | 6.2 |
| Microsoft Office Word | CVE-2023-36762 | 7.3 |
| Microsoft Office Outlook | CVE-2023-36763 | 7.5 |
| Microsoft Office SharePoint | CVE-2023-36764 | 8.8 |
| Microsoft Office | CVE-2023-36765 | 7.8 |
| Microsoft Office Excel | CVE-2023-36766 | 7.8 |
| Microsoft Office | CVE-2023-36767 | 4.3 |
| 3D Builder | CVE-2023-36770 | 7.8 |
| 3D Builder | CVE-2023-36771 | 7.8 |
| 3D Builder | CVE-2023-36772 | 7.8 |
| 3D Builder | CVE-2023-36773 | 7.8 |
| Microsoft Exchange Server | CVE-2023-36777 | 5.7 |
| .NET Framework | CVE-2023-36788 | 7.8 |
| .NET and Visual Studio | CVE-2023-36792 | 7.8 |
| .NET and Visual Studio | CVE-2023-36793 | 7.8 |
| .NET and Visual Studio | CVE-2023-36794 | 7.8 |
| .NET and Visual Studio | CVE-2023-36796 | 7.8 |
| .NET Core & Visual Studio | CVE-2023-36799 | 6.5 |
| Microsoft Dynamics Finance & Operations | CVE-2023-36800 | 7.6 |
| Windows DHCP Server | CVE-2023-36801 | 5.3 |
| Microsoft Streaming Service | CVE-2023-36802 | 7.8 |
| Windows Kernel | CVE-2023-36803 | 5.5 |
| Windows GDI | CVE-2023-36804 | 7.8 |
| Windows Scripting | CVE-2023-36805 | 7.0 |
| Microsoft Dynamics | CVE-2023-36886 | 7.6 |
| Windows Kernel | CVE-2023-38139 | 7.8 |
| Windows Kernel | CVE-2023-38140 | 5.5 |
| Windows Kernel | CVE-2023-38141 | 7.8 |
| Windows Kernel | CVE-2023-38142 | 7.8 |
| Windows Common Log File System Driver | CVE-2023-38143 | 7.8 |
| Windows Common Log File System Driver | CVE-2023-38144 | 7.8 |
| Windows Themes | CVE-2023-38146 | 8.8 |
| Microsoft Windows Codecs Library | CVE-2023-38147 | 8.8 |
| Windows Internet Connection Sharing (ICS) | CVE-2023-38148 | 8.8 |
| Windows TCP/IP | CVE-2023-38149 | 7.5 |
| Windows Kernel | CVE-2023-38150 | 7.8 |
| Windows DHCP Server | CVE-2023-38152 | 5.3 |
| Azure DevOps | CVE-2023-38155 | 7.0 |
| Azure HDInsights | CVE-2023-38156 | 7.2 |
| Windows TCP/IP | CVE-2023-38160 | 5.5 |
| Windows GDI | CVE-2023-38161 | 7.8 |
| Windows DHCP Server | CVE-2023-38162 | 7.5 |
| Windows Defender | CVE-2023-38163 | 7.8 |
| Microsoft Dynamics | CVE-2023-38164 | 7.6 |
| Microsoft Office | CVE-2023-41764 | 5.5 |
Preporuke:
Korisnicima se preporučuje žurna primjena potrebnih zakrpa kako bi zaštitili svoje informacijske sustave od potencijalnih iskorištavanja ranjivosti. Korisnici bi trebali pregledati detaljne upute za svaku ranjivost i slijediti korake kako bi ublažili štetne posljedice povezane s tim ranjivostima.
Više informacija moguće je pročitati na sljedećim poveznicama:
- https://msrc.microsoft.com/update-guide/releaseNote/2023-Sep
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36802
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36761
[inicijalna obavijest 18.9.2023 - 09:19]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima