La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una falla de seguridad recientemente parcheada en los productos .NET y Visual Studio de Microsoft a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
Registrado como CVE-2023-38180 (puntuación CVSS: 7,5), la falla de alta gravedad se relaciona con un caso de denegación de servicio (DoS) que afecta a .NET y Visual Studio.
Microsoft lo abordó como parte de sus actualizaciones del martes de parches de agosto de 2023 enviadas a principios de esta semana, etiquetándolo con una evaluación de «Explotación más probable».
Si bien los detalles exactos sobre la naturaleza de la explotación no están claros, el fabricante de Windows ha reconocido la existencia de una prueba de concepto (PoC) en su aviso. También dijo que los ataques que aprovechan la falla se pueden realizar sin ningún privilegio adicional o interacción del usuario.
«El código de explotación de prueba de concepto está disponible, o una demostración de ataque no es práctica para la mayoría de los sistemas», dijo la compañía . «El código o la técnica no es funcional en todas las situaciones y puede requerir una modificación sustancial por parte de un atacante experto».
Las versiones afectadas del software incluyen ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versión 17.2, Microsoft Visual Studio 2022 versión 17.4 y Microsoft Visual Studio 2022 versión 17.6.
Para mitigar los riesgos potenciales, CISA ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) que apliquen las correcciones proporcionadas por los proveedores para la vulnerabilidad antes del 30 de agosto de 2023.
Fuente y redacción: thehackernews.com
