Microsoft udostępnia aktualizację March 2023 Patch Tuesday, która rozwiązuje łącznie 80 luk w zabezpieczeniach, z czego dwie są aktywnie wykorzystywane. Z 80 problemów, osiem jest sklasyfikowanych jako krytyczne, 71 jako ważne, a jeden jako umiarkowany. Jest to następstwem niedawnych poprawek Microsoftu dla 29 błędów w przeglądarce Edge opartej na Chromium.

Aktywnie wykorzystywane luki obejmują błąd w Microsoft Outlook polegający na eskalacji uprawnień (CVE-2023-23397, wynik CVSS: 9.8) oraz obejście funkcji bezpieczeństwa Windows SmartScreen (CVE-2023-24880, wynik CVSS: 5.1).

CVE-2023-23397 można uruchomić wysyłając złośliwy e-mail, który automatycznie aktywuje się po przetworzeniu przez klienta Outlook dla Windows, nie wymagając interakcji użytkownika ani nawet podglądu wiadomości. Luka ta, zgłoszona przez ukraiński zespół reagowania na incydenty komputerowe (CERT-UA), została wykorzystana w limitowanych atakach ukierunkowanych przez rosyjskiego aktora przeciwko europejskim sektorom rządowym, transportowym, energetycznym i wojskowym.

CVE-2023-24880 obejmuje lukę w zabezpieczeniach, która może zostać wykorzystana do obejścia zabezpieczeń Mark-of-the-Web (MotW) dla niezaufanych plików pobieranych z Internetu. Jest to efekt wcześniejszej wąskiej łatki, która pozwalała atakującym na szybkie znalezienie innego wariantu oryginalnego błędu. Researcher Google Threat Analysis Group (TAG) Benoit Sevens zwrócił uwagę na problem w raporcie, zauważając, że od stycznia 2023 r. zaobserwowano ponad 100 tys. pobrań złośliwych plików MSI, co dotyczyło przede wszystkim użytkowników w Europie.

Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) dodała te błędy do katalogu Known Exploited Vulnerabilities (KEV) i ogłosiła nowy program pilotażowy w celu ostrzeżenia podmiotów infrastruktury krytycznej o lukach związanych ze znanym wykorzystaniem ransomware.

Microsoft rozwiązał również kilka krytycznych luk w mechanizmie zdalnego wykonywania kodu w protokole HTTP (CVE-2023-23392, wynik CVSS: 9.8), Internet Control Message Protocol (CVE-2023-23415, wynik CVSS: 9.8) i Remote Procedure Call Runtime (CVE-2023-21708, wynik CVSS: 9.8).

Inne warte uwagi poprawki obejmują łaty na cztery błędy związane z eskalacją przywilejów w jądrze systemu Windows, 10 błędów związanych ze zdalnym wykonywaniem kodu w sterowniku drukarki Microsoft PostScript i PCL6 Class Printer Driver oraz lukę WebView2 w przeglądarce Edge.

Dodatkowo, Microsoft usunął dwie luki ujawniające informacje w OneDrive dla Androida (CVE-2023-24882 i CVE-2023-24923, wyniki CVSS: 5.5), jedna luka spoofingu w Office dla Androida (CVE-2023-23391, wynik CVSS: 5.5), jeden błąd obejścia zabezpieczeń w OneDrive dla iOS (CVE-2023-24890, wynik CVSS: 4.3) i jeden błąd eskalacji przywilejów w OneDrive dla macOS (CVE-2023-24930, wynik CVSS: 7.8).

Wreszcie, Microsoft wydał łaty na dwie luki o wysokim stopniu szkodliwości w specyfikacji biblioteki referencyjnej Trusted Platform Module (TPM) 2.0 (CVE-2023-1017 i CVE-2023-1018, wyniki CVSS: 8,8), które mogą skutkować ujawnieniem informacji lub eskalacją uprawnień.