Las primeras correcciones del martes de parches enviadas por Microsoft para 2023 abordaron un total de 98 fallas de seguridad , incluida una falla que, según la compañía, se está explotando activamente en la naturaleza.
11 de los 98 problemas están clasificados como Críticos y 87 están clasificados como Importantes en cuanto a su gravedad, y una de las vulnerabilidades también figura como conocida públicamente en el momento del lanzamiento. Por separado, se espera que el fabricante de Windows publique actualizaciones para su navegador Edge basado en Chromium.
La vulnerabilidad que está bajo ataque se relaciona con CVE-2023-21674 (puntaje CVSS: 8.8), una falla de escalada de privilegios en Windows Advanced Local Procedure Call ( ALPC ) que podría ser explotada por un atacante para obtener permisos de SISTEMA.
«Esta vulnerabilidad podría conducir a un escape de la caja de arena del navegador», señaló Microsoft en un aviso, dando crédito a los investigadores de Avast Jan Vojtěšek, Milánek y Przemek Gmerek por informar el error.
Si bien los detalles de la vulnerabilidad aún están en secreto, una explotación exitosa requiere que un atacante ya haya obtenido una infección inicial en el host. También es probable que la falla se combine con un error presente en el navegador web para salir de la zona de pruebas y obtener privilegios elevados.
«Una vez que se haya hecho el punto de apoyo inicial, los atacantes buscarán moverse a través de una red u obtener niveles de acceso más altos adicionales y este tipo de vulnerabilidades de escalada de privilegios son una parte clave del libro de jugadas de ese atacante», Kev Breen, director de investigación de amenazas cibernéticas en Laboratorios de inmersión, dijo.
Habiendo dicho eso, las posibilidades de que una cadena de explotación como esta se emplee de manera generalizada son limitadas debido a la función de actualización automática utilizada para parchear los navegadores, dijo Satnam Narang, ingeniero de investigación senior de Tenable.
También vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), instando a las agencias federales a aplicar parches antes del 31 de enero de 2023.
Además, CVE-2023-21674 es la cuarta falla de este tipo identificada en ALPC, una función de comunicación entre procesos (IPC) proporcionada por el kernel de Microsoft Windows, después de CVE-2022-41045 , CVE-2022-41093 y CVE-2022. -41100 (puntajes CVSS: 7.8), los últimos tres de los cuales se conectaron en noviembre de 2022 .
Otras dos vulnerabilidades de escalada de privilegios identificadas como de alta prioridad afectan a Microsoft Exchange Server ( CVE-2023-21763 y CVE-2023-21764 , puntuaciones CVSS: 7.8), que se derivan de un parche incompleto para CVE-2022-41123, según Qualys .
«Un atacante podría ejecutar código con privilegios de nivel de SISTEMA al explotar una ruta de archivo codificada», dijo Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas en Qualys, en un comunicado.
Microsoft también resolvió una omisión de la función de seguridad en SharePoint Server ( CVE-2023-21743 , puntaje CVSS: 5.3) que podría permitir que un atacante no autenticado eluda la autenticación y realice una conexión anónima. El gigante tecnológico señaló que «los clientes también deben activar una acción de actualización de SharePoint incluida en esta actualización para proteger su granja de SharePoint».
La actualización de enero corrige aún más una serie de fallas de escalada de privilegios, incluida una en el Administrador de credenciales de Windows ( CVE-2023-21726 , puntuación CVSS: 7.8) y tres que afectan el componente Print Spooler ( CVE-2023-21678 , CVE-2023-21760 , y CVE-2023-21765 ).
A la Agencia de Seguridad Nacional de EE. UU. (NSA) se le atribuye el informe CVE-2023-21678. En total, 39 de las vulnerabilidades que Microsoft cerró en su última actualización permiten la elevación de privilegios.
Completando la lista está CVE-2023-21549 (puntuación CVSS: 8.8), una vulnerabilidad de elevación de privilegios conocida públicamente en el servicio de testigo SMB de Windows y otra instancia de omisión de características de seguridad que afecta a BitLocker ( CVE-2023-21563 , puntuación CVSS: 6.8).
«Un atacante exitoso podría eludir la función de Cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema», dijo Microsoft. «Un atacante con acceso físico al objetivo podría explotar esta vulnerabilidad para obtener acceso a datos cifrados».
Por último, Redmond revisó su guía sobre el uso malicioso de controladores firmados (llamado Traiga su propio controlador vulnerable) para incluir una lista de bloqueo actualizada publicada como parte de las actualizaciones de seguridad de Windows el 10 de enero de 2023.
El martes, CISA también agregó CVE-2022-41080 , una falla de escalada de privilegios de Exchange Server, al catálogo de KEV luego de informes de que la vulnerabilidad se está encadenando junto con CVE-2022-41082 para lograr la ejecución remota de código en sistemas vulnerables.
El exploit, cuyo nombre en código es OWASSRF por CrowdStrike, ha sido aprovechado por los actores del ransomware Play para violar los entornos de destino. Microsoft corrigió los defectos en noviembre de 2022.
Las actualizaciones del martes de parches también llegan cuando Windows 7, Windows 8.1 y Windows RT llegaron al final del soporte el 10 de enero de 2023. Microsoft dijo que no ofrecerá un programa de actualización de seguridad extendida (ESU) para Windows 8.1, sino que instará a los usuarios a actualizar a Windows 11.
«Continuar usando Windows 8.1 después del 10 de enero de 2023 puede aumentar la exposición de una organización a los riesgos de seguridad o afectar su capacidad para cumplir con las obligaciones de cumplimiento», advirtió la compañía.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, que incluyen:
- Adobe
- AMD
- Androide
- cisco
- Citrix
- dell
- F5
- Fortinet
- GitLab
- Google Chrome
- HP
- IBM
- Intel
- Redes de enebro
- lenovo
- Distribuciones de Linux Debian , Oracle Linux , Red Hat , SUSE y Ubuntu
- MediaTek
- Qualcomm
- SAVIA
- Schneider Electric
- Siemens
- Synology
- Ampliar , y
- Zyxel
Fuente y redacción: thehackernews.com
