Microsoft abordó cinco vulnerabilidades de seguridad críticas en su actualización del martes de septiembre, junto con dos Zero-Days calificados como “importantes” y bajo ataque activo.
En total, Microsoft lanzó actualizaciones que solucionan 61 vulnerabilidades en toda la gama de productos: afectan a Microsoft Windows, Exchange Server, Office, .NET y Visual Studio, Azure, Microsoft Dynamics y Windows Defender.
La actualización también incorpora un puñado de problemas de terceros, incluido un error crítico Zero-Day en Chromium activamente explotado y que afecta a Microsoft Edge, Google Chrome y Firefox. Con estos parches “externos”, el número de CVE asciende a 66.
Microsoft Zero-Days bajo explotación activa
Si bien dos de los CVE figuran como utilizados por actores de amenazas en la naturaleza antes de aplicar el parche, solo uno figura como de conocimiento público. Ambos deberían estar en la parte superior de la lista de parches, por razones obvias.
El error público se encuentra en Microsoft Word (CVE-2023-36761, CVSS 6.2); Está clasificado como un problema de “divulgación de información”, pero Dustin Childs, investigador de Trend Micro’s Zero Day Initiative (ZDI), señaló que esto contradice su gravedad. “Un atacante podría usar esta vulnerabilidad para permitir la divulgación de hashes NTLM, que luego presumiblemente se usarían en un ataque estilo retransmisión NTLM“, explicó en su publicación. “Independientemente de la clasificación, el panel de vista previa aquí también es un vector, lo que significa que no se requiere interacción del usuario. Definitivamente se debe colocar este parche en la parte superior de la lista de implementación”. Al explotar esta vulnerabilidad se podría conducir a la divulgación de hashes Net-NTLMv2, que se utilizan para la autenticación en entornos Windows.
El otro Zero-Day existe en el sistema operativo Windows (CVE-2023-36802, CVSS 7.8), concretamente en el proxy del servicio de streaming de Microsoft Stream (anteriormente conocido como Office 365 Video). Según el aviso, para una explotación exitosa, un atacante necesitaría ejecutar un programa especialmente diseñado que permitiría escalar privilegios como administrator o system.
“Esta es la octava vulnerabilidad Zero-Day de elevación de privilegios y explotada en estado salvaje en 2023. Debido a que los atacantes tienen innumerables formas de violar las organizaciones, simplemente obtener acceso a un sistema puede no siempre ser suficiente, y es ahí donde las fallas de elevación de privilegios se vuelven mucho más valiosas, especialmente los días cero.
Vulnerabilidades críticas
Cuando se trata de errores críticos, uno de los más preocupantes es CVE-2023-29332, que se encuentra en el servicio Azure Kubernetes de Microsoft. Podría permitir que un atacante remoto y no autenticado obtenga privilegios de administración del clúster de Kubernetes.
“Este se destaca porque se puede acceder a él desde Internet, no requiere interacción del usuario y está catalogado como de baja complejidad”, advirtió Childs en su publicación. “Basado en el aspecto remoto y no autenticado de este error, esto podría resultar bastante tentador para los atacantes”.
Tres de los parches calificados como críticos son problemas de RCE que afectan a Visual Studio (CVE-2023-36792, CVE-2023-36793 y CVE-2023-36796, todos con una puntuación CVSS de 7,8). Todos ellos podrían provocar la ejecución de código arbitrario al abrir un archivo de paquete malicioso con una versión afectada del software.
“Dado el uso generalizado de Visual Studio entre los desarrolladores, el impacto de tales vulnerabilidades podría tener un efecto dominó, extendiendo el daño mucho más allá del sistema inicialmente comprometido”, dijo en una publicación Tom Bowyer, gerente de seguridad de productos de Automox. “En el peor de los casos, esto podría significar el robo o la corrupción del código fuente propietario, la introducción de puertas traseras o una manipulación maliciosa que podría convertir su aplicación en una plataforma de lanzamiento para ataques a otros”.
El último problema crítico es CVE-2023-38148 (CVSS 8.8, el más grave que Microsoft parchó este mes), que permite la ejecución remota de código no autenticado a través de la función Internet Connection Sharing (ICS) en Windows. Su riesgo se ve mitigado por el hecho de que un atacante tendría que estar adyacente a la red y, además, la mayoría de las organizaciones ya no utilizan ICS. Sin embargo, aquellos que todavía lo usan deben parchearlo inmediatamente. Según SANS Internet Storm Center, este es el error más grave de septiembre. Microsoft dice que un atacante no autenticado podría aprovechar la falla para instalar malware simplemente enviando un paquete de datos especialmente diseñado a un sistema Windows vulnerable.
“Si los atacantes aprovechan esta vulnerabilidad con éxito, podría haber una pérdida total de confidencialidad, integridad y disponibilidad”, afirma Natalie Silva, ingeniera líder en ciberseguridad de Immersive Labs. “Un atacante no autorizado podría aprovechar esta vulnerabilidad enviando un paquete de red especialmente diseñado al servicio. Esto podría llevar a la ejecución de código arbitrario, lo que podría resultar en acceso no autorizado, manipulación de datos o interrupción de los servicios”.
También se incluye en la actualización de septiembre un conjunto de errores de Microsoft Exchange Server que se consideran “más propensos a ser explotados”.
El trío de problemas (CVE-2023-36744, CVE-2023-36745 y CVE-2023-36756, todos con una calificación CVSS de 8.0) afectan a las versiones 2016-2019 y permiten ataques RCE contra el servicio.
“Si bien ninguno de estos ataques resulta en RCE en el servidor en sí, podría permitir que un atacante adyacente a la red con credenciales válidas altere los datos del usuario o obtenga un hash Net-NTLMv2 para una cuenta de usuario específica, que a su vez podría descifrarse para recuperarse. una contraseña de usuario o retransmitida internamente en la red para atacar otro servicio”, afirma Robert Reeves, ingeniero principal de ciberseguridad de Immersive.
Y añade: “Si los usuarios privilegiados (aquellos con permisos de administrador de dominio o similares dentro de la red) tienen un buzón creado en Exchange, en contra de los consejos de seguridad de Microsoft, un ataque de retransmisión de este tipo podría tener consecuencias significativas”.
Y finalmente, los investigadores de Automox señalaron una vulnerabilidad de denegación de servicio (DoS) en Windows TCP/IP (CVE-2023-38149, CVSS 7.5) como una a priorizar. El error afecta a cualquier sistema en red y “permite que un atacante a través de un vector de red interrumpa el servicio sin ninguna autenticación de usuario o alta complejidad. Estas debilidades pueden explotarse para sobrecargar los servidores, interrumpiendo el funcionamiento normal de las redes y servicios, y provocando que dejen de estar disponibles para los usuarios”. Dicho todo esto, los sistemas con IPv6 deshabilitado no se ven afectados
Finalmente, Adobe ha lanzado actualizaciones de seguridad críticas para su software Adobe Reader y Acrobat que también corrige una vulnerabilidad Zero-Day (CVE-2023-26369). Más detalles están en el aviso de Adobe.
Zero-Day crítico en Chrome
Se descubrió una vulnerabilidad Zero-Day con gravedad crítica en Google Chrome, Edge y Firefox y se publicó una actualización de seguridad de emergencia de Chrome 116, después de que se observara activamente en la naturaleza.
La vulnerabilidad se informó como “a heap buffer overflow in WebP”. Los desbordamientos del búfer ocurren cuando una aplicación escribe más datos en un búfer de memoria de los que el búfer puede contener; esto puede provocar que una aplicación falle, lo que genera la posibilidad de ejecución de código arbitrario. Mientras tanto, WebP es “un formato de imagen que proporciona una compresión superior sin pérdida y con pérdida para imágenes en la Web”, lo que significa que los desarrolladores web pueden usarlo para crear imágenes más pequeñas y ricas en comparación con las imágenes con formato JPEG y PNG. A su vez, eso permite que la Web funcione más rápido. Las imágenes WebP son compatibles con la mayoría de los navegadores modernos, como Chrome, Firefox, Safari, Edge y Opera.
El problema fue informado por Apple Security Engineering and Architecture (SEAR) y el organismo de control de software espía The Citizen Lab el 6 de septiembre, y Google informó que tiene conocimiento de que hay un exploit para el error, rastreado como CVE-2023-4863.
Fuente: Segu Info