1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Martes de Parches de Microsoft (y Apple), edición de abril de 2023

Martes de Parches de Microsoft (y Apple), edición de abril de 2023

Microsoft hoy lanzó actualizaciones de software para tapar 100 agujeros de seguridad en su Windows sistemas operativos y otro software, incluida una vulnerabilidad de día cero que ya se está utilizando en ataques activos. Para no quedarse atrás, Manzana ha lanzado un conjunto de actualizaciones importantes que abordan dos vulnerabilidades de día cero que se utilizan para atacar iPhone, iPads y Mac.

El 7 de abril, Apple emitió actualizaciones de seguridad de emergencia para corregir dos debilidades que se están explotando activamente, que incluyen CVE-2023-28206, que puede ser explotado por aplicaciones para tomar el control de un dispositivo. CVE-2023-28205 puede ser utilizado por un sitio web malicioso o pirateado para instalar código.

Ambas vulnerabilidades se abordan en iOS/ iPadOS 16.4.1, iOS 15.5.7 y macOS 12.6.5 y 11.7.6. Si usa dispositivos Apple y no tiene habilitadas las actualizaciones automáticas (están activadas de forma predeterminada), probablemente debería encargarse de eso pronto con instrucciones detalladas sobre cómo atacar CVE-2023-28206 ahora son públicos.

El grupo de 100 actualizaciones de seguridad de Microsoft lanzadas hoy incluye CVE-2023-28252, que es una debilidad en Windows que Redmond dice que está bajo ataque activo. La vulnerabilidad está en el Sistema de Archivos del Sistema de Registro Común de Windows Controlador (CLFS), un componente central de Windows que fue la fuente de ataques dirigidos a una vulnerabilidad de día cero diferente en febrero de 2023.

"Si parece familiar, es porque hubo un parche similar de 0 días en el mismo componente hace solo dos meses", dijo Dustin Childs en el Iniciativa Día Cero de Trend Micro. "Para mí, eso implica que la solución original era insuficiente y los atacantes han encontrado un método para eludir esa solución. Al igual que en febrero, no hay información sobre cuán generalizados pueden ser estos ataques. Este tipo de exploit generalmente se combina con un error de ejecución de código para propagar malware o ransomware.”

Según la firma de seguridad Cualys, esta vulnerabilidad ha sido aprovechada por los ciberdelincuentes para implementar Nokoyawa ransomware.

"Esta es una cepa relativamente nueva para la cual hay información de código abierto que sugiere que posiblemente esté relacionada con el ransomware Hive, una de las familias de ransomware más notables de 2021 y vinculada a infracciones de más de 300 organizaciones en cuestión de pocos meses", dijo Bharat Jogi, director de investigación de vulnerabilidades y amenazas de Qualys.

Jogi dijo que si bien aún no está claro qué actor de amenaza exacto está apuntando a CVE-2023-28252, se han observado objetivos en América del Sur y del Norte, regiones de Asia y en organizaciones de Oriente Medio.

Satnam Narang en Sostenible señala que CVE-2023-28252 es también el segundo CLFS de día cero revelado a Microsoft por investigadores de Mandiant y DBAPPSecurity (CVE-2022-37969), aunque no está claro si ambos descubrimientos están relacionados con el mismo atacante.

Siete de las 100 vulnerabilidades que Microsoft corrigió hoy están clasificadas como "críticas", lo que significa que pueden usarse para instalar código malicioso sin ayuda del usuario. Noventa de las fallas obtuvieron la etiqueta de "Importante" de Redmond, un poco menos grave, que se refiere a las debilidades que pueden usarse para socavar la seguridad del sistema, pero que pueden requerir cierta cantidad de interacción del usuario.

Narang dijo que Microsoft ha calificado casi el 90% de las vulnerabilidades de este mes como "Explotación Menos probable", mientras que solo el 9,3% de las fallas fueron calificadas como "Explotación Más probable".” Kevin Breen en Laboratorios Inmersivos se centró en varios defectos notables en ese 9.3%, que incluyen CVE-2023-28231, una vulnerabilidad de ejecución remota de código en un proceso de red central de Windows (DHCP)con una puntuación CVSS de 8,8.

"'Explotación más probable' significa que no está siendo explotada activamente, pero los adversarios pueden tratar de convertirla en arma", dijo Breen. "Micorosft señala que la explotación exitosa requiere que un atacante ya haya obtenido acceso inicial a la red. Esto podría ser a través de ingeniería social, ataques de spear phishing o explotación de otros servicios.”

Breen también llamó la atención sobre CVE-2023-28220 y CVE-2023-28219 - un par de vulnerabilidades de ejecución remota de código que afectan Servidores de Acceso Remoto de Windows (RAS) que también se ganó la etiqueta de "explotación más probable" de Microsoft.

"Un atacante puede aprovechar esta vulnerabilidad enviando una solicitud de conexión especialmente diseñada a un servidor RAS, lo que podría llevar a la ejecución remota de código", dijo Breen. Aunque no es estándar en todas las organizaciones, los servidores RAS suelen tener acceso directo desde Internet, donde se conectan la mayoría de los usuarios y servicios. Esto lo hace extremadamente atractivo para los atacantes, ya que no necesitan diseñar socialmente su camino hacia una organización. Simplemente pueden escanear Internet en busca de servidores RAS y automatizar la explotación de dispositivos vulnerables.”

Para obtener más detalles sobre las actualizaciones publicadas hoy, consulte Resumen del Centro de Tormentas de SANS Internet. Si las actualizaciones de hoy causan problemas de estabilidad o usabilidad en Windows, AskWoody.com es probable que tenga la verdad sobre eso.

Considere hacer una copia de seguridad de sus datos y/o imágenes de su sistema antes de aplicar cualquier actualización. Y siéntase libre de sonar en los comentarios si experimenta algún problema como resultado de estos parches.



>>Más