1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Martes de Parches de Microsoft, Edición de mayo de 2023

Martes de Parches de Microsoft, Edición de mayo de 2023

Microsoft hoy lanzó actualizaciones de software para corregir al menos cuatro docenas de agujeros de seguridad en su Ventanas sistemas operativos y otro software, incluidos parches para dos vulnerabilidades de día cero que ya están siendo explotadas en ataques activos.

El primero en los defectos de día cero de mayo es CVE-2023-29336, que es una debilidad de "elevación de privilegios" en Windows que tiene una baja complejidad de ataque, requiere pocos privilegios y no requiere interacción del usuario. Sin embargo, como el Centro de Tormentas de SANS Internet señala, el vector de ataque para este error es local.

"Las vulnerabilidades de escalada de privilegios locales son una parte clave de los objetivos de los atacantes", dijo Kevin Breen, director de investigación de amenazas cibernéticas en Laboratorios Inmersivos. "Una vez que obtengan el acceso inicial, buscarán permisos administrativos o de nivel de SISTEMA. Esto puede permitir al atacante deshabilitar las herramientas de seguridad e implementar más herramientas para atacantes como Mimikatz que les permite moverse a través de la red y ganar persistencia.”

El parche de día cero que ha recibido la mayor atención hasta ahora es CVE-2023-24932, que es un Omisión de la Función de Seguridad de Arranque Seguro falla que está siendo explotada activamente por el malware" bootkit "conocido como"Palometa negra."Un bootkit es peligroso porque permite al atacante cargar software malicioso incluso antes de que se inicie el sistema operativo.

Según el aviso de Microsoft, un atacante necesitaría acceso físico o derechos administrativos a un dispositivo de destino, y luego podría instalar una política de arranque afectada. Microsoft le da a esta falla una puntuación CVSS de solo 6.7, calificándola como " Importante.”

Adam Barnett, ingeniero de software líder en Rápido7, dicho CVE-2023-24932 merece una puntuación de amenaza considerablemente más alta.

"Microsoft advierte que un atacante que ya tiene acceso de administrador a un activo sin parches podría explotar CVE-2023-24932 sin tener necesariamente acceso físico", dijo Barnett. "Por lo tanto, el puntaje base CVSSv3 relativamente bajo de 6.7 no es necesariamente una métrica confiable en este caso.”

Barnett dijo que Microsoft ha proporcionado un artículo de orientación complementario denunciando específicamente la amenaza que representa el malware BlackLotus, que se carga antes que el sistema operativo en los activos comprometidos y proporciona a los atacantes una serie de poderosas técnicas de evasión, persistencia y Comando y Control (C2), incluida la implementación de controladores de kernel maliciosos y la desactivación de Microsoft Defender o Bitlocker.

"Los administradores deben ser conscientes de que se requieren acciones adicionales más allá de simplemente aplicar los parches", aconsejó Barnett. "El parche habilita las opciones de configuración necesarias para la protección, pero los administradores deben aplicar cambios a la configuración de UEFI después del parche. La superficie de ataque tampoco se limita a los activos físicos; los activos de Windows que se ejecutan en algunas máquinas virtuales, incluidos los activos de Azure con arranque seguro habilitado, también requieren estos pasos de corrección adicionales para la protección. Rapid7 ha señalado en el pasado que habilitar el arranque seguro es una protección fundamental contra los ataques basados en controladores. Los defensores ignoran esta vulnerabilidad bajo su propio riesgo.”

Además de los dos días cero corregidos este mes, Microsoft también parcheó cinco fallas de ejecución remota de código (RCE) en Windows, dos de las cuales tienen puntajes CVSS notablemente altos.

CVE-2023-24941 afecta al Sistema de archivos de red de Windows y se puede explotar a través de la red realizando una solicitud no autenticada y especialmente diseñada. El asesoramiento de Microsoft también incluye consejos de mitigación. El CVSS para esta vulnerabilidad es 9.8, el más alto de todos los defectos abordados este mes.

Mientras tanto, CVE-2023-28283 es un error crítico en el Protocolo Ligero de acceso a Directorios (LDAP) de Windows que permite a un atacante no autenticado ejecutar código malicioso en el dispositivo vulnerable. El CVSS para esta vulnerabilidad es 8.1, pero Microsoft dice que explotar la falla puede ser complicado y poco confiable para los atacantes.

Otra vulnerabilidad parcheada este mes que se reveló públicamente antes de hoy (pero que aún no se ha explotado en la naturaleza) es CVE-2023-29325, una debilidad en Microsoft Outlook y Explorador los atacantes pueden aprovecharlo para instalar malware de forma remota. Microsoft dice que esta vulnerabilidad se puede explotar simplemente viendo un correo electrónico especialmente diseñado en el Panel de vista previa de Outlook.

"Para ayudar a protegerse contra esta vulnerabilidad, recomendamos a los usuarios leer los mensajes de correo electrónico en formato de texto sin formato", aconseja la reseña de Microsoft sobre CVE-2023-29325.

"Si un atacante pudiera explotar esta vulnerabilidad, obtendría acceso remoto a la cuenta de la víctima, donde podría implementar malware adicional", dijo Breen de Immersive. "Este tipo de exploit será muy buscado por los grupos de ciberdelincuencia y ransomware donde, si se arma con éxito, podría usarse para atacar a cientos de organizaciones con muy poco esfuerzo.”

Para obtener más detalles sobre las actualizaciones publicadas hoy, consulte resúmenes de Acción 1, Automox y Cualys, Si las actualizaciones de hoy causan problemas de estabilidad o usabilidad en Windows, AskWoody.com es probable que tenga la verdad sobre eso.

Considere hacer una copia de seguridad de sus datos y/o imágenes de su sistema antes de aplicar cualquier actualización. Y siéntase libre de sonar en los comentarios si experimenta algún problema como resultado de estos parches.



>>Más