Microsoft

Microsoft ha publicado correcciones para solucionar 63 errores de seguridad en su software durante el mes de noviembre de 2023, incluidas tres vulnerabilidades que han sido explotadas activamente en la naturaleza.

De los 63 defectos, tres están clasificados como críticos, 56 como importantes y cuatro como de gravedad moderada. Dos de ellos figuraban como de conocimiento público en el momento de la publicación.

Las actualizaciones se suman a más de 35 deficiencias de seguridad abordadas en su navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches para octubre de 2023.

Los cinco días cero que son dignos de mención son los siguientes:

  • CVE-2023-36025 (puntuación CVSS: 8,8): vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows
  • CVE-2023-36033 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en la biblioteca principal DWM de Windows
  • CVE-2023-36036 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador de minifiltro de archivos en la nube de Windows
  • CVE-2023-36038 (puntuación CVSS: 8,2): vulnerabilidad de denegación de servicio de ASP.NET Core
  • CVE-2023-36413 (puntuación CVSS: 6,5): vulnerabilidad de omisión de la función de seguridad de Microsoft Office

Un atacante podría explotar tanto CVE-2023-36033 como CVE-2023-36036 para obtener privilegios del SISTEMA, mientras que CVE-2023-36025 podría permitir eludir las comprobaciones de Windows Defender SmartScreen y sus mensajes asociados.

«El usuario tendría que hacer clic en un acceso directo a Internet (.URL) especialmente diseñado o en un hipervínculo que apunte a un archivo de acceso directo a Internet para que el atacante lo comprometa», dijo Microsoft sobre CVE-2023-36025.

CVE-2023-36025 es la tercera vulnerabilidad de día cero de Windows SmartScreen explotada en estado salvaje en 2023 y la cuarta en los últimos dos años. En diciembre de 2022, Microsoft parcheó CVE-2022-44698 (puntuación CVSS: 5,4), mientras que CVE-2023-24880 (puntaje CVSS: 5,1) se parcheó en marzo y CVE-2023-32049 (puntuación CVSS: 8,8) se parcheó en julio. .

El fabricante de Windows, sin embargo, no ha proporcionado más orientación sobre los mecanismos de ataque empleados y los actores de amenazas que pueden estar utilizándolos como arma. Pero la explotación activa de las fallas de escalada de privilegios sugiere que probablemente se utilicen junto con un error de ejecución remota de código.

«Ha habido 12 vulnerabilidades de elevación de privilegios en la biblioteca principal de DWM en los últimos dos años, aunque esta es la primera que ha sido explotada en la naturaleza como un día cero», dijo Satnam Narang, ingeniero senior de investigación de Tenable. en un comunicado compartido con The Hacker News.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar los tres problemas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 5 de diciembre de 2023.

Microsoft también parchó dos fallas críticas de ejecución remota de código en el Protocolo de autenticación extensible protegido y la multidifusión general pragmática ( CVE-2023-36028 y CVE-2023-36397 , puntuaciones CVSS: 9.8) que un actor de amenazas podría aprovechar para desencadenar la ejecución de programas maliciosos. código.

La actualización de noviembre incluye además un parche para CVE-2023-38545 (puntuación CVSS: 9,8), una falla crítica de desbordamiento del búfer basado en montón en la biblioteca curl que salió a la luz el mes pasado, así como una vulnerabilidad de divulgación de información en la CLI de Azure ( CVE-2023-36052 , puntuación CVSS: 8,6).

«Un atacante que explotara con éxito esta vulnerabilidad podría recuperar contraseñas y nombres de usuario en texto plano de los archivos de registro creados por los comandos CLI afectados y publicados por Azure DevOps y/o GitHub Actions», dijo Microsoft.

El investigador de Palo Alto Networks, Aviad Hahami, quien informó sobre el problema, dijo que la vulnerabilidad podría permitir el acceso a las credenciales almacenadas en el registro del oleoducto y permitir a un adversario aumentar potencialmente sus privilegios para ataques posteriores.

En respuesta, Microsoft dijo que ha realizado cambios en varios comandos de la CLI de Azure para proteger la CLI de Azure (versión 2.54) contra el uso involuntario que podría provocar la exposición de secretos.

Fuente y redacción: thehackernews.com

Compartir