A lista hosszú(külső hivatkozás), sok hibával azonnal kell foglalkozni, mert súlyosak és illetve már van amit kihasználnak zero-day-ként a támadó felek, például ezek a hibák igen figyelemreméltóak és gyorsan foltozandóak:

CVE-2023-23397(külső hivatkozás) - Microsoft Outlook Privilege Elevation Vulnerability

A Microsoft Outlook jogosultságemelkedési hibát javított, amely lehetővé teszi, hogy speciálisan megalkotott e-mailek kényszerítsék a célpont eszközét arra, hogy csatlakozzon egy távoli URL-címhez, és átadja a Windows-fiók Net-NTLMv2 hash-ját. A Microsoft figyelmeztet, hogy ez a hiba akkor aktiválódik, mielőtt a levél megjelenne a előnézeti ablakban, mivel a sebezhetőség „automatikusan aktiválódik, amikor az e-mail szervertől letöltik és feldolgozzák.” Az Outlook kritikus sebezhetősége érinti mind a 32, mind a 64 bites Microsoft 365 Apps for Enterprise verzióit. Az Office 2013, 2016 és 2019 verziókat is.

"A külső támadók olyan speciálisan megalkotott e-maileket küldhetnek, amelyek az áldozatot az ő irányítása alatt álló külső UNC helyre csatlakoztatják. Ez kiszivárogtatja az áldozat Net-NTLMv2 hash-ját az újra hasznosító támadónak, aki ezután egy másik szolgáltatáshoz kapcsolódhat és azonosíthatja magát az áldozatként" - olvasható a Microsoft figyelmeztetésében.

A fenyegető szereplők ezzel a sebezhetőséggel gyűjtötték össze a célok NTLM-hash-ait, hogy feltörjék az áldozatok hálózatait, ahol azok bizonyos fiókok e-maileit lopták el.

A következő enyhítések hasznosak lehetnek: Adja hozzá a felhasználókat a Protected Users Security Group-hoz, amely megakadályozza az NTLM használatát az hitelesítési mechanizmusként. Ez a megoldás egyszerűbb hibaelhárítást tesz lehetővé, mint az NTLM letiltása más módszerekkel. Fontolja meg a magas értékű fiókoknál történő használatát, például - ha lehetésges - a Domain Admins fiókok ilyen módoni védelmét. Az alkalmazással kapcsolatban fontos megjegyezni, hogy ez hatással lehet az NTLM-et igénylő alkalmazásokra, azonban a beállítások visszaállnak, amint a felhasználó eltávolításra kerül a Protected Users Group-ból. További információkért keresse fel a Protected Users Security Group(külső hivatkozás) oldalát és olvasse el ezeket az információkat is(külső hivatkozás). Blokkolja a TCP 445/SMB-t a hálózatából kifelé használva a edge tűzfalat, a helyi tűzfalat és a VPN-beállításait. Ez megakadályozza az NTLM hitelesítési üzenetek küldését távoli fájlmegosztásokra.

CVE-2023-24880(külső hivatkozás) - Windows SmartScreen Security Feature Bypass Vulnerability

Windows SmartScreen biztonsági funkció sebezhetőség: Ez a másik sebezhetőség aktív támadás alatt áll, bár ez sokkal kevésbé izgalmas. A sebezhetőség lehetővé teszi, hogy a támadók olyan fájlokat hozzanak létre, amelyek kikerülik a Mark of the Web (MOTW) védelmi mechanizmusait. Az ilyen MOTW-re épülő védő intézkedések, mint a SmartScreen és a Microsoft Office Protected View, segítenek a kártékony kódok terjedésének megakadályozásában, de a MOTW védelmi mechanizmus kikerülése könnyebbé teszi a fertőzött dokumentumok és fájlok által terjesztett malware-eket, amelyeket különben a SmartScreen megállítana.

CVE-2023-23392 - (külső hivatkozás)HTTP Protocol Stack Remote Code Execution Vulnerability

HTTP protokoll verem távoli kód végrehajtási sebezhetősége: Ez a CVSS 9,8-as hiba lehetővé teszi a távoli, hitelesítetlen támadók számára, hogy felhasználói interakció nélkül rendszer szintű kódot hajtsanak végre. Ez a kombináció lehetővé teszi a kódfertőzési láncolat gyors terjedését - legalábbis azokon a rendszereken, amelyek megfelelnek a célkövetelményeknek. A célrendszernek HTTP/3-nak kell engedélyezve lennie és be kell állítani a bufferelt I/O használatát. Azonban ez egy viszonylag gyakori konfiguráció. Figyelembe kell venni, hogy csak a Windows 11 és a Windows Server 2022 érintettek, ami azt jelenti, hogy ez egy újabb hiba, nem örökölt kód.

CVE-2023-23415(külső hivatkozás) - Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability

Az Internet Control Message Protocol (ICMP) távoli kódvégrehajtási sebezhetősége, amely a jelenleg támogatott összes WIndows rendszert érinti. Egy támadó alacsony szintű protokoll-t hibát kihasználó csomagot küldhet a cél számítógépnek egy IP csomagot tartalmazó fragmented ICMP csomag fejlécében. A sebezhető kód-útvonal aktiválásához egy alkalmazásnak a támadott számítógépen egy raw socketre kell lennie csatlakozva.

CVE-2023-21708(külső hivatkozás) - Remote Procedure Call Runtime Remote Code Execution Vulnerability

Ez egy Távoli Eljáráshívás  távoli kód végrehajtási sebezhetősége, amley  érinti az összes támogatott Windows és Windows Server verziót. Egy nem hitelesített támadónak speciálisan elkészített RPC hívást kellene küldenie egy RPC gazdához, hogy kihasználja ezt a sebezhetőséget. Ennek eredményeként távoli kód végrehajtása történhet a szerver oldalon a RPC szolgáltatás ugyanazon jogosultságaival.

A kárenyhítás érdekében legjobb gyakorlat a 135-ös TCP port blokkolása a vállalat határvédelmi tűzfalán, amely csökkentheti bizonyos potenciális támadások valószínűségét ezen sebezhetőség ellen.

CVE-2023-24864(külső hivatkozás) - Microsoft PostScript and PCL6 Class Printer Driver Elevation of Privilege Vulnerability

A Microsoft PostScript és PCL6 osztály nyomtatóillesztő program magasabb jogosultságú sebezhetősége arról szól, hogy a támadó SYSTEM jogosultságokat szerezhet. Egy azonosított, de normál felhasználói jogosultságokkal rendelkező támadó a Microsoft PS Class Driver segítségével egy ártalmas XPS fájlt tud nyomtatni, amely lehetővé teszi a jogosultságok emelésével járó támadás végrehajtását a kiszolgáló számítógépen.