Sintesi
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 80 nuove vulnerabilità, di cui 2 di tipo 0-day.
Note: il vendor afferma che le CVE-2023-23397 e CVE-2023-24880 risultano essere sfruttatate attivamente in rete.
Note (aggiornamento del 21/03/2023): dei Proof of Concept (PoC) per lo sfruttamento delle CVE-2023-24880 e CVE-2023-23415 risultano disponibili in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (76,12/100)1.
Tipologia
- Spoofing
- Remote Code Execution
- Security Feature Bypass
- Information Disclosure
- Denial of Service
- Elevation of Privilege
Prodotti e versioni affette
- Azure
- Client Server Run-time Subsystem (CSRSS)
- Internet Control Message Protocol (ICMP)
- Microsoft Bluetooth Driver
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft OneDrive
- Microsoft PostScript Printer Driver
- Microsoft Printer Drivers
- Microsoft Windows Codecs Library
- Office for Android
- Remote Access Service Point-to-Point Tunneling Protocol
- DNS Server
- Windows Hyper-V
- Service Fabric
- Visual Studio
- Windows Accounts Control
- Windows Bluetooth Service
- Windows Central Resource Manager
- Windows Cryptographic Services
- Windows Defender
- Windows HTTP Protocol Stack
- Windows HTTP.sys
- Windows Internet Key Exchange (IKE) Protocol
- Windows Kernel
- Windows Partition Management Driver
- Windows Point-to-Point Protocol over Ethernet (PPPoE)
- Windows Remote Procedure Call
- Windows Remote Procedure Call Runtime
- Windows Resilient File System (ReFS)
- Windows Secure Channel
- Windows SmartScreen
- Windows TPM
- Windows Win32K
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di procedere all’aggiornamento dei prodotti impattati attraverso l’apposita funzione di Windows Update.
Identificatori univoci vulnerabilità
Riferimenti
https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar
https://msrc.microsoft.com/update-guide (NB: filtro: patch tuesday – March 2023)
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.