Microsoft publicó actualizaciones para un total de 63 errores en su boletín de noviembre de 2023, incluidos tres que los actores de amenazas ya están explotando activamente y dos que se revelaron anteriormente pero que aún no han sido explotados.
Desde el punto de vista de los números brutos, la actualización de noviembre de Microsoft es considerablemente más pequeña que la de octubre, que contenía correcciones para 112 CVE.
Este mes se corrigen cinco vulnerabilidades de Zero-Day, tres de ellas explotadas en ataques y tres divulgadas públicamente. Microsoft clasifica una vulnerabilidad como de día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible.
La actualización de este mes también incluyó menos vulnerabilidades críticas (tres) en comparación con los últimos meses. Microsoft ha evaluado todos los CVE restantes, excepto cuatro, en sus actualizaciones de noviembre como de gravedad moderada o importante.
El número de bugs por cada caegoría es el siguiente:
- 16 Elevation of Privilege
- 6 Security Feature Bypass
- 15 Remote Code Execution
- 6 Information Disclosure
- 5 Denial of Service
- 11 Spoofing
Un trío de Zero-Days que los atacantes están explotando activamente
Como siempre, la forma en que las organizaciones prioricen la corrección del último conjunto de errores dependerá de una variedad de factores. Estos incluyen la prevalencia de las vulnerabilidades en sus entornos específicos, los activos afectados, la accesibilidad de esos activos, la facilidad de explotación y otras consideraciones.
Pero como ocurre con cada actualización mensual de Microsoft, hay varios errores en el último lote que los expertos en seguridad coincidieron en que merecen mayor atención que otros. Los tres errores de día cero explotados activamente encajan en esa categoría.
Uno de ellos es CVE-2023-36036, una vulnerabilidad de escalamiento de privilegios en el controlador de Windows Cloud Files Mini Filter Driver, el cual brinda a los atacantes una forma de adquirir privilegios a nivel del sistema.
Microsoft ha evaluado la vulnerabilidad como una amenaza de gravedad moderada (o importante), pero ha proporcionado relativamente pocos detalles sobre el problema. Satnam Narang, ingeniero senior de investigación de Tenable, identificó el error como algo que probablemente será de interés para los actores de amenazas desde el punto de vista de la actividad posterior al compromiso. Un atacante requiere acceso local a un sistema afectado para explotar el error. La explotación implica poca complejidad, interacción del usuario o privilegios especiales.
El controlador de minifiltro de archivos en la nube de Windows es un componente esencial para el funcionamiento de los archivos almacenados en la nube en sistemas Windows, dice Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas de Qualys. «La presencia generalizada de este controlador en casi todas las versiones de Windows amplifica el riesgo y proporciona una amplia superficie de ataque. Actualmente está bajo ataque activo y representa un riesgo significativo, especialmente cuando se combina con un error de ejecución de código», afirma Abbasi.
El otro error de día cero en la actualización de noviembre de Microsoft es CVE-2023-36033, una vulnerabilidad de escalamiento de privilegios en el componente Windows DWM Core Library. Esta vulnerabilidad también permite el acceso a privilegios a nivel de sistema en los sistemas afectados y es relativamente fácil de explotar. «Esta vulnerabilidad se puede explotar localmente, con baja complejidad y sin necesidad de privilegios de alto nivel o interacción del usuario». El error es algo que sería útil para un atacante que ya obtuvo acceso inicial a un sistema, señaló Walters.
«Actualmente, esta vulnerabilidad está bajo ataque activo, lo que indica una aplicación del mundo real por parte de actores maliciosos», afirma Abbasi. «Aunque aún no se ha determinado completamente el alcance integral de estos ciberataques, los patrones históricos indican que a menudo comienzan con incidentes menores y aumentan progresivamente en escala».
El tercer error de día cero, CVE-2023-36025, es una falla de omisión de seguridad que brinda a los atacantes una forma de eludir las comprobaciones de Windows Defender SmartScreen que advierten sobre sitios web maliciosos y archivos y aplicaciones riesgosos o no reconocidos.
Esta es la tercera vulnerabilidad de día cero de Windows SmartScreen explotada en estado salvaje en 2023 y la cuarta en los últimos dos años, según Narang de Tenable.
Un atacante remoto puede explotar la vulnerabilidad a través de la red con poca complejidad y sin interacción del usuario, escribió Walters en la publicación del blog. Con una puntuación CVSS de 8,8/10, esto es algo a lo que las organizaciones deben prestar atención, añadió Walters. «Dada su alta calificación CVSS y el hecho de que se está explotando activamente, esto convierte a CVE-2023-36025 en una de las vulnerabilidades a las que se debe dar prioridad para parchear».
Dos errores (CVE-2023-36038, una vulnerabilidad de denegación de servicio que afecta a ASP.NET Core, y CVE-2023-36413, una falla de omisión de características de seguridad en Microsoft Office) se divulgaron públicamente antes del martes de parches de noviembre, pero siguen sin explotar.
Errores de gravedad crítica
Las tres vulnerabilidades en la actualización de noviembre que Microsoft evaluó como de gravedad crítica son: CVE-2023-36397, una ejecución remota de código (RCE) en el protocolo Pragmatic General Multicast de Windows para transportar datos de multidifusión; CVE-2023-36400, un error de elevación de privilegios en la función de derivación de clave HMAC de Windows; y CVE-2023-36052, una falla de divulgación de información en un componente de Azure.
De los tres errores críticos, CVE-2023-36052 es probablemente el problema que las organizaciones deben priorizar, afirma John Gallagher, vicepresidente de Viakoo Labs en Viakoo. El error permite a un atacante utilizar comandos comunes de la interfaz de línea de comandos para obtener acceso a credenciales de texto sin formato: nombres de usuario y contraseñas. «Es probable que estas credenciales se puedan utilizar en otros entornos además de Azure DevOps o GitHub y, por lo tanto, crean un riesgo de seguridad urgente», afirma Gallagher.
En una publicación de blog del SANS Internet Storm Center, Johannes Ullrich, decano de investigación del SANS Technology Institute, señaló el tema en Pragmatic General Multicast como un tema a tener en cuenta. «CVE-2023-36397, una vulnerabilidad de ejecución remota de código en el protocolo Pragmatic General Multicast (PGM) de Windows, es digna de mención, ya que tuvimos parches para esto en meses anteriores», escribió Ullrich. «Pero la explotación debería ser difícil. Requerirá acceso a la red local y normalmente no está habilitado».
Jason Kitka, CISO de Automox, también señaló una vulnerabilidad de elevación de privilegios de gravedad media (CVE-2023-36422) como un error que los equipos de seguridad no deberían ignorar. Aunque Microsoft ha clasificado el error como un problema «Importante», la amenaza que presenta es crítica porque un atacante puede obtener privilegios del sistema explotando la vulnerabilidad, escribió Kitka en una publicación de blog. «La estrategia de mitigación más efectiva contra tal amenaza es aplicar rápidamente los parches disponibles y asegurarse de que estén actualizados», escribió.
Las actualizaciones de otras compañias incluyen las siguientes
- Cisco released security updates for various products, including Cisco ASA.
- The Citrix «Citrix Bleed» vulnerability is being exploited by numerous hacking groups, including ransomware gangs.
- Google released the Android November 2023 security updates.
- Four Juniper vulnerabilities are now chained in remote code execution (RCE) attacks.
- Microsoft Exchange zero-day flaws were disclosed after Microsoft decided they did not meet the bar for immediate servicing.
- QNAP released fixes for two critical command injection vulnerabilities.
- SAP has released its November 2023 Patch Day updates.
- SysAid released security updates for a zero-day vulnerability exploited in Clop ransomware attacks.
Fuente y redacción: segu-info.com.ar
