12 abr 2023

Microsoft parchea 97 vulnerabilidades, incluidos fallos Zero-Day y Wormeables

La actualización de seguridad del martes de parches de Microsoft para abril de 2023 contiene parches para 97 CVE, incluido un fallo Zero-Day que se está explotando activamente en ataques de ransomware, otro que es una reedición de una corrección para un fallo de 2013 que un actor de amenazas explotó recientemente en un ataque a la cadena de suministro de 3CX, y un fallo de gusano calificado de gravedad crítica.

Microsoft identificó un total de siete de los fallos corregidos este mes como de gravedad crítica, lo que normalmente significa que las organizaciones deben darles la máxima prioridad desde el punto de vista de la aplicación de parches.

Como es habitual, el mayor número de vulnerabilidades abordadas afecta a Windows, con 77 CVEs. Le sigue Visual Studio, con 5 CVE; Dynamics y SQL (3 cada uno); Azure, Office y Publisher (2 cada uno); y Defender, .NET (contado aparte de los parches de Visual Studio) y SharePoint (uno cada uno).

Casi la mitad (45), de las vulnerabilidades de la actualización de abril permiten la ejecución remota de código (RCE), lo que supone un aumento significativo con respecto a la media de 33 fallos RCE que Microsoft ha notificado en cada uno de los tres meses anteriores. Aun así, la empresa calificó casi el 90% de los CVE de la última tanda como fallos que los ciberatacantes tienen menos probabilidades de explotar, y sólo el 9% se caracterizan como fallos que los actores de amenazas tienen más probabilidades de explotar.

Zero-Day explotado por ransomware

El fallo de día cero, rastreado como CVE-2023-28252 (7.8), es una vulnerabilidad de elevación de privilegios en el sistema de archivos de registro común de Windows (CLFS), que afecta a todas las versiones compatibles de Windows 10 y Windows Server. Es el segundo día cero de CLFS en los últimos meses, (el otro fue CVE-2022-37969 - 7.8) y da a los adversarios que ya tienen acceso a la plataforma una forma de obtener privilegios a nivel de sistema. 

"Esta vulnerabilidad aprovecha el acceso existente al sistema para explotar activamente un dispositivo y es el resultado de la forma en que el controlador CLFS interactúa con los objetos de la memoria de un sistema", explica Gina Geisel, investigadora de seguridad de Automox. Para explotar el fallo, un atacante tendría que iniciar sesión en un sistema y luego ejecutar un binario malicioso para elevar privilegios. 

En una entrada de blog publicada junto con la actualización de Microsoft, Kaspersky afirmó que sus investigadores habían observado a un actor de amenazas que explotaba CVE-2023-28252 para distribuir el ransomware Nokoyawa en sistemas pertenecientes a pequeñas y medianas empresas de Norteamérica, Oriente Medio y Asia. El análisis del proveedor de seguridad muestra que los exploits son similares a los ya dirigidos a CLFS.

Un parche del pasado

Otro parche de la actualización de abril de Microsoft al que los investigadores recomiendan que las organizaciones presten atención es el CVE-2013-3900 (7.4), una vulnerabilidad de validación de firmas de hace 10 años en la función WinVerifyTrust de Windows. Un actor de amenazas (se cree que es el Grupo Lazarus de Corea del Norte) explotó recientemente el fallo en un ataque a la cadena de suministro de 3CX que dio lugar a malware que aterrizó en los sistemas pertenecientes a los usuarios del software de videoconferencia de la compañía. 

Cuando Microsoft lanzó el parche en 2013, la compañía había decidido que fuera un parche opcional debido a la posibilidad de que la corrección causara problemas a algunas organizaciones. Con la actualización de seguridad de abril, Microsoft ha puesto el parche a disposición de más plataformas y ofrece más recomendaciones a las organizaciones sobre cómo abordar el problema. 

"Tómese el tiempo necesario para revisar todas las recomendaciones, incluida la información sobre el programa Microsoft Trusted Root, y tome las medidas necesarias para proteger su entorno", afirma en un blog Dustin Childs, investigador de la Iniciativa Día Cero (ZDI) de Trend Micro.

Una oleada de vulnerabilidades RCE

Los investigadores identificaron dos de las vulnerabilidades críticas de la tanda de abril de acción inmediata. Una de ellas es CVE-2023-21554 (9.8).

El fallo afecta a la tecnología Microsoft Message Queuing (MSMQ) y ofrece a los atacantes una forma de obtener RCE enviando un paquete MSMQ especialmente diseñado a un servidor. La vulnerabilidad afecta a los sistemas Windows 10, 11 y Server 2008-2022 que tienen activada la función de colas de mensajes en sus sistemas. Los administradores deben considerar la aplicación del parche de Microsoft para el problema lo antes posible, ya que la compañía ha señalado que los actores de amenazas son más propensos a explotar la vulnerabilidad.

En América Latina hay aproximadamente 5.533 IPs que tienen el puerto TCP/1801 (MSMQ) abierto a Internet (mundial ~360.000)

Esta es sólo una de las dos vulnerabilidades críticas que afectan al sistema Windows Message Queuing y que Microsoft ha corregido esta semana. La otra es CVE-2023-28250 (9.8), una vulnerabilidad en Windows Pragmatic Multicast que también tiene una puntuación base de 9,8 y es potencialmente wormable

"En este parche del martes, MSFT corrigió algunos fallos críticos, de los cuales recomendaríamos a las organizaciones que priorizaran el parcheado de las vulnerabilidades que están siendo explotadas activamente y que son susceptibles de convertirse en gusanos", afirmó Bharat Jogi, director de investigación de vulnerabilidades y amenazas de Qualys.

La otra vulnerabilidad crítica que necesita reparación inmediata es CVE-2023-28231 (8.8), un fallo RCE en el servicio DHCP Server. Microsoft ha evaluado el fallo como otro problema que los atacantes tienen más probabilidades de intentar aprovechar. Para explotar el fallo, un atacante necesitaría acceso previo en una red. Pero una vez en ella, el adversario podría iniciar la ejecución remota de código en el servidor DHCP, según Kevin Breen, director de investigación de ciberamenazas de Immersive Labs.

Microsoft recomienda que los servicios DHCP no se instalen en los Controladores de Dominio, sin embargo, las organizaciones más pequeñas verán comúnmente DC y servicios DHCP co-ubicados. En este caso, el impacto podría ser mucho mayor. Los atacantes que tengan control sobre los servidores DHCP podrían causar estragos considerables en la red, incluido el robo de credenciales para productos de software como servicio (SaaS), o para llevar a cabo ataques de máquina en el medio (MiTM), señaló.

Fuente: Dark Reading

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!