A Microsoft abordou cinco vulnerabilidades críticas de segurança em sua atualização de setembro, juntamente com dois zero days classificados como importantes que estão sob ataque ativo.
No total, a Microsoft lançou 59 novos patches que afetam uma variedade de produtos, incluindo Microsoft Windows, Exchange Server, Office, .NET e Visual Studio, Azure, Microsoft Dynamics e Windows Defender.
A atualização também incorpora algumas questões de terceiros, incluindo um bug zero day crítico do Chromium que afeta o Microsoft Edge.
Dois dos CVEs estão sendo usados por atores de ameaças antes da correção. Um deles é encontrado no Microsoft Word (CVE-2023-36761) e é classificado como um problema de “divulgação de informações”.
No entanto, este bug pode permitir a divulgação de hashes NTLM, que poderiam ser usados em um ataque de estilo NTLM-relay.
O outro zero day está no sistema operacional Windows (CVE-2023-36802), especificamente no serviço de proxy de streaming do Microsoft Stream.
Para uma exploração bem-sucedida, um invasor precisaria executar um programa especialmente criado que permitiria a escalação de privilégios.