10 may 2023

Vulnerabilidades críticas RCE y dos Zero-Days en los parches de mayo de Microsoft

La actualización de seguridad de Microsoft para mayo de 2023 es la más ligera desde agosto de 2021 con correcciones para un total de 49 nuevas vulnerabilidades, incluidas dos que los atacantes están explotando activamente.

La actualización incluye correcciones para nueve vulnerabilidades en el motor Chromium en el que se basa el navegador Edge de Microsoft. La empresa identificó siete de las 40 vulnerabilidades restantes como de gravedad crítica y el resto como "importantes".

Defectos explotados activamente

Las dos vulnerabilidades explotadas activamente que Microsoft arregló en su actualización de mayo marcan el quinto mes consecutivo en que la compañía ha revelado al menos un error de día cero en el martes de parches. Uno de los nuevos Zero-Day de este mes es una vulnerabilidad de escalamiento de privilegios de Win32k identificada como (CVE-2023-29336) que los atacantes pueden explotar para obtener el control completo de los sistemas afectados.

El hecho de que fuera un proveedor de antimalware, Avast, el que informó el error a Microsoft sugiere que los actores de amenazas están utilizando el error para distribuir malware, dijeron los investigadores de Trend Micro's Zero Day Initiative (ZDI) en una publicación de blog. "Este tipo de escalamiento de privilegios generalmente se combina con un error de ejecución de código para propagar malware. Como siempre, Microsoft no ofrece información sobre cuán generalizados pueden ser estos ataques".

Actualmente, no hay soluciones alternativas disponibles para la falla, lo que significa que la aplicación de parches es la forma más efectiva de mitigar el riesgo. A la luz de esto, es absolutamente crucial actualizar rápidamente los sistemas con los parches provistos.

El segundo error que los atacantes están explotando actualmente es una omisión de la función de seguridad en la función de arranque seguro de Windows para proteger dicho proceso de cambios no autorizados y software malicioso durante el inicio del sistema.

El error, identificado como CVE-2023-24932, permite a un atacante eludir el arranque seguro e instalar una política de arranque de su elección. Un atacante necesitaría acceso físico o derechos administrativos en una máquina afectada para explotar la falla. Satnam Narang, ingeniero senior de personal de Tenable, dijo que la falla parece estar relacionada con BlackLotus, un bootkit de UEFI que el proveedor de seguridad ESET informó por primera vez en marzo de 2023.

Desafortunadamente, esta vulnerabilidad está siendo explotada por criminales, incluida la banda de ransomware Black Lotus.

Tener MUCHA precaución

En el caso CVE-2023-24932, el problema es grave porque el parche podría invalidar el firmware existente en la placa base (ver cronograma). El parche completo implica actualizar el código de inicio de Microsoft en la partición de inicio de su disco duro y luego decirle a BIOS que ya no confíe más en el código de inicio antiguo e inseguro.

En teoría, si algo sale mal, aún debería poder recuperarse de una falla de arranque del sistema operativo simplemente iniciando desde un disco de recuperación que preparó anteriormente. Excepto que su computadora no confiará en ninguno de sus discos de recuperación existentes en ese momento, suponiendo que incluyan componentes de tiempo de arranque que ahora han sido revocados y, por lo tanto, su computadora no los aceptará.

Es probable que aún pueda recuperar los datos, si no toda la instalación del sistema operativo, utilizando una computadora que haya sido parcheada por completo para crear una imagen de recuperación completamente actualizada con el nuevo código de inicio, suponiendo que tenga una computadora de repuesto a mano para hacer eso. En este caso Linux también se ve afectado porque se invalida la verificación del booteo seguro.

Microsoft ha proporcionado un cronograma de tres etapas para esta actualización en particular:

  • Mayo (ahora). El proceso manual completo descrito por Microsoft se puede usar para completar el parche hoy (¡CUIDADO!). Si está preocupado, simplemente puede instalar el parche y no hacer nada más en este momento, lo que deja instalado el nuevo código de inicio y, por lo tanto, lista para aceptar la revocación descrita anteriormente, pero aún capaz de iniciar con los discos de recuperación existentes. Por supuesto, deja la vulnerabilidad aún explotable, porque el antiguo código de arranque todavía se puede cargar.
  • Julio (dos meses). Se prometen herramientas de implementación automática más seguras. Presumiblemente, todas las descargas de instalación oficiales de Microsoft estarán parcheadas para entonces, por lo que incluso si algo sale mal, tendrá una forma oficial de obtener una imagen de recuperación confiable. En este punto, se podría completar el parche de forma segura y sencilla, sin hacer nada a mano.
  • A principios de 2024. Los sistemas sin parches se actualizarán a la fuerza, incluida la aplicación automática de revocaciones criptográficas que evitarán que los medios de recuperación antiguos funcionen en su computadora, con lo que se espera cerrar el agujero CVE-2023-24932 de forma permanente para todos.

Una gran cantidad de RCEs, otra vez

Casi una cuarta parte, o 12, de las vulnerabilidades que Microsoft reveló en su actualización de mayo de 2023 permiten la ejecución remota de código; ocho son fallas en la divulgación de información; y seis permiten a los atacantes eludir los controles de seguridad.

Los RCE afectan el protocolo Network File System (NFS) de Microsoft para compartir archivos y acceso remoto a través de una red; la multidifusión general pragmática de Windows (PGM); Controlador Bluetooth de Windows; y el Protocolo ligero de acceso a directorios (LDAP) de Windows.

Varios proveedores de seguridad identificaron un RCE en Microsoft NFS (CVE-2023-24941) como uno que las organizaciones deben priorizar debido al riesgo que presenta. Microsoft ha asignado al CVE una puntuación de gravedad de 9.8, la más alta en la actualización de mayo, debido a la baja complejidad de ataque asociada con el error y también al hecho de que no requiere la interacción del usuario. Un atacante con pocos privilegios podría explotar la falla en la red a través de una llamada no autenticada y especialmente diseñada a un servicio NFS, dijo Microsoft.

La compañía ha lanzado una mitigación para la vulnerabilidad. Pero advirtió a las organizaciones que no usen la mitigación si aún no han instalado el parche para una falla anterior en NFSV2.0 y NFSV3.0 (CVE-2022-26937) que Microsoft corrigió en mayo de 2022.

"El protocolo NFS es más común en entornos Linux y Unix que en Windows, donde el protocolo SMB es más común", dijo Yoav Iellin, investigador principal de Silverfort, en un comentario enviado por correo electrónico. "Aún así, las organizaciones que utilizan el servidor de Windows como su servidor NFS deberían considerar aplicar la corrección de Microsoft de inmediato", dijo Iellin.

Otros errores críticos

El SANS Internet Storm Center señaló a CVE-2023-28283, un RCE en Windows LDAP como otro error en el conjunto de mayo al que la organización debería prestar atención a pesar de que Microsoft mismo ha visto el error como menos probable de ser explotado. La vulnerabilidad brinda a los atacantes una forma de obtener RCE dentro del contexto del servicio LDAP a través de llamadas LDAP especialmente diseñadas.

Un atacante no autenticado que explotara con éxito esta vulnerabilidad podría obtener la ejecución del código a través de un conjunto especialmente diseñado de llamadas LDAP para ejecutar código arbitrario dentro del contexto del servicio LDAP. Pero atacar la vulnerabilidad implica un alto grado de complejidad, dijo SANS.

Una de las fallas críticas que Microsoft describió como más probable de ser explotada porque el código de prueba de concepto ya está disponible, es CVE-2023-29325, un RCE en la tecnología Windows Object Linking and Embedding (OLE). Un atacante puede desencadenar la falla al enviar un correo electrónico especialmente diseñado a una víctima y hacer que la víctima abra el correo electrónico con una versión afectada de Microsoft Outlook o simplemente lo vea en el panel de vista previa.

"El simple acto de mirar un correo electrónico malicioso cuidadosamente elaborado en el panel de vista previa de Outlook es suficiente para permitir la ejecución remota de código y potencialmente comprometer la computadora del destinatario", dijo Iellin.

Microsoft recomienda que los usuarios lean el correo electrónico en formato de texto sin formato para protegerse contra la falla hasta que solucionen el problema. La empresa también brindó orientación sobre cómo los administradores pueden configurar Outlook para leer todo el correo electrónico estándar en texto sin formato.

Fuente: DarkReading

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!