La actualización del martes de parches de Microsoft para marzo de 2023 se está implementando con soluciones para un conjunto de 80 fallas de seguridad , dos de las cuales han sido objeto de explotación activa en la naturaleza.
Ocho de los 80 errores se califican como Críticos, 71 como Importantes y uno como Moderado en gravedad. Las actualizaciones se suman a las 29 fallas que el gigante tecnológico corrigió en su navegador Edge basado en Chromium en las últimas semanas.
Las dos vulnerabilidades que han sido atacadas activamente incluyen una falla de escalada de privilegios de Microsoft Outlook ( CVE-2023-23397 , puntaje CVSS: 9.8) y una omisión de la función de seguridad de Windows SmartScreen ( CVE-2023-24880 , puntaje CVSS: 5.1).
CVE-2023-23397 se «activa cuando un atacante envía un mensaje con una propiedad MAPI extendida con una ruta UNC a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas», dijo Microsoft en un aviso independiente .
Un actor de amenazas podría aprovechar esta falla enviando un correo electrónico especialmente diseñado, activándolo automáticamente cuando el cliente de Outlook para Windows lo recupera y lo procesa. Como resultado, esto podría conducir a la explotación sin necesidad de interacción del usuario e incluso antes de que el mensaje se vea en el Panel de vista previa.
Microsoft le dio crédito al Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) por informar la falla, y agregó que está al tanto de los «ataques dirigidos limitados» montados por un actor de amenazas con sede en Rusia contra los sectores del gobierno, el transporte, la energía y el ejército en Europa.
CVE-2023-24880, por otro lado, se refiere a una falla de omisión de seguridad que podría explotarse para evadir las protecciones Mark-of-the-Web (MotW) al abrir archivos no confiables descargados de Internet.
También es la consecuencia de un parche limitado lanzado por Microsoft para resolver otro error de omisión de SmartScreen ( CVE-2022-44698 , puntaje CVSS: 5.4) que salió a la luz el año pasado y que fue explotado por actores motivados financieramente para entregar el ransomware Magniber.
«Los proveedores a menudo lanzan parches limitados, creando una oportunidad para que los atacantes iteren y descubran nuevas variantes», dijo en un informe el investigador del Grupo de análisis de amenazas (TAG) de Google, Benoit Sevens .
«Debido a que no se abordó la causa raíz detrás de la omisión de seguridad de SmartScreen, los atacantes pudieron identificar rápidamente una variante diferente del error original».
TAG dijo que observó más de 100,000 descargas de archivos MSI maliciosos firmados con una firma Authenticode mal formada desde enero de 2023, lo que permitió al adversario distribuir el ransomware Magniber sin generar ninguna advertencia de seguridad. La mayoría de esas descargas se han asociado con usuarios en Europa.
La divulgación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó las dos fallas al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ) y anunció un nuevo programa piloto que tiene como objetivo advertir a las entidades de infraestructura crítica sobre «vulnerabilidades comúnmente asociadas con la explotación conocida de ransomware». «
Microsoft también cerró una serie de fallas críticas de ejecución remota de código que afectan la pila de protocolo HTTP ( CVE-2023-23392 , puntaje CVSS: 9.8), el protocolo de mensajes de control de Internet ( CVE-2023-23415 , puntaje CVSS: 9.8) y Remote Tiempo de ejecución de llamada a procedimiento ( CVE-2023-21708 , puntuación CVSS: 9,8).
Otras menciones notables incluyen parches para cuatro errores de escalada de privilegios identificados en el kernel de Windows, 10 fallas de ejecución remota de código que afectan a Microsoft PostScript y el controlador de impresora de clase PCL6, y una vulnerabilidad de suplantación de WebView2 en el navegador Edge.
Microsoft también solucionó dos fallas de divulgación de información en OneDrive para Android ( CVE-2023-24882 y CVE-2023-24923 , puntaje CVSS: 5.5), una vulnerabilidad de suplantación de identidad en Office para Android ( CVE-2023-23391 , puntaje CVSS: 5.5), un error de omisión de seguridad en OneDrive para iOS ( CVE-2023-24890 , puntuación CVSS: 4,3) y un problema de escalada de privilegios en OneDrive para macOS ( CVE-2023-24930 , puntuación CVSS: 7,8).
Completan la lista los parches para dos vulnerabilidades de alta gravedad en la especificación de la biblioteca de referencia Trusted Platform Module ( TPM ) 2.0 ( CVE-2023-1017 y CVE-2023-1018 , puntajes CVSS: 8.8) que podrían conducir a la divulgación o privilegio de información. escalada.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, que incluyen:
- Adobe
- Androide
- Manzana
- Redes Aruba
- cisco
- Citrix
- CODESYS
- dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- IBM
- Jenkins
- lenovo
- Distribuciones de Linux Debian , Oracle Linux , Red Hat , SUSE y Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR y Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Samba
- Samsung
- SAVIA
- Schneider Electric
- Siemens
- pared sónica
- Sophos
- Synology
- Tendencia Micro
- Veeam
- Zoho y
- Zoom
Fuente y redacción: thehackernews.com