Para conmemorar el primer martes de parches de enero de 2023, Microsoft ha lanzado parches para 98 vulnerabilidades, incluida una explotada activamente (CVE-2023-21674) y otra (CVE-2023-21549) que se ha divulgado públicamente. Ambos permiten a los atacantes elevar los privilegios en la máquina vulnerable.
CVE-2023-21674 es una vulnerabilidad en la llamada de procedimiento local avanzado (ALPC) de Windows que podría conducir a un escape del espacio aislado del navegador y permitir a los atacantes obtener privilegios de SYSTEM en una amplia variedad de instalaciones de Windows y Windows Server.
“Los errores de este tipo a menudo se combinan con algún tipo de código adicional para entregar malware o ransomware. Teniendo en cuenta que esto fue informado a Microsoft por investigadores de Avast, ese escenario parece probable aquí”, señaló Dustin Childs de Trend Micro ZDI. Actualizar este error debería ser una prioridad.
Según Satnam Narang, ingeniero senior de investigación del personal de Tenable, las vulnerabilidades como CVE-2023-21674 suelen ser obra de grupos de amenazas persistentes avanzadas (APT) como parte de ataques dirigidos. “La probabilidad de una futura explotación generalizada de una cadena de explotación como esta es limitada debido a la funcionalidad de actualización automática utilizada para parchear los navegadores”, agregó.
La vulnerabilidad divulgada públicamente, CVE-2023-21549, en Windows SMB Witness, aparentemente tiene menos probabilidades de ser explotada en las últimas versiones de Windows y Windows Server, aunque la complejidad del ataque y los privilegios requeridos son bajos y no se necesita la interacción del usuario.
“Para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado que ejecuta una llamada RPC. Esto podría resultar en una elevación de privilegios en el servidor. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar funciones RPC que están restringidas solo a cuentas privilegiadas”, explicó Microsoft.
Pero mientras que CVE-2023-21549 puede ser una prioridad de aplicación de parches para algunos, CVE-2023-21743, una vulnerabilidad de elusión de la característica de seguridad en Microsoft SharePoint Server, debería ser remediada rápidamente por muchos. “Rara vez se ve un Security Feature Bypass (SFB) con calificación crítica, pero esta parece calificar. Este error podría permitir que un atacante remoto no autenticado realice una conexión anónima a un servidor de SharePoint afectado”, señaló Childs, y enfatizó que los administradores de sistemas también deben activar una acción de actualización de SharePoint para estar completamente protegidos contra esta vulnerabilidad.
“El atacante puede eludir la protección en SharePoint, bloqueando la solicitud HTTP según el rango de IP. Si un atacante explota con éxito esta vulnerabilidad, puede validar la presencia o ausencia de un punto final HTTP dentro del rango de IP bloqueado. Además, la vulnerabilidad requiere que el atacante tenga acceso de lectura al sitio objetivo de Sharepoint”, señaló Preetham Gurram, gerente sénior de productos en Automox.
Los administradores a cargo de parchear los servidores de Microsoft Exchange en las instalaciones deben actuar rápidamente para parchear dos vulnerabilidades de EoP (CVE-2023-21763/CVE-2023-21764) derivadas de un parche fallido lanzado en noviembre de 2022.
El resto de parches están destinados a corregir vulnerabilidades en Windows Print Spooler (una de ellas ha sido reportada por la NSA), el kernel de Windows y otras soluciones. También hay dos fallas interesantes (CVE-2023-21560, CVE-2023-21563) que permiten a los atacantes eludir la función Cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema para obtener acceso a datos cifrados, pero solo si están físicamente presentes.
El final del camino para el uso seguro de Windows 7
Finalmente, debe reiterarse una vez más que hoy Microsoft ha finalizado el soporte de seguridad extendido para Windows 7.
Han pasado tres años desde que Microsoft comenzó su programa de actualización de seguridad extendida (ESU) para Windows 7 y Server 2008/2008 R2 y las actualizaciones de seguridad finales para estos sistemas operativos se lanzarán la próxima semana. Si bien continuarán funcionando mucho más allá de la fecha límite, se seguirán descubriendo nuevas vulnerabilidades y estos sistemas se ejecutarán con un riesgo cada vez mayor de explotación.
La fecha de finalización extendida para Windows 8.1 también es hoy. “Después de esta fecha, este producto ya no recibirá actualizaciones de seguridad, actualizaciones que no sean de seguridad, correcciones de errores, soporte técnico o actualizaciones de contenido técnico en línea”, señaló Microsoft.
Fuente: https://blog.segu-info.com.ar/2023/01/microsoft-soluciona-zero-day-explotado.html