Microsoft abordó cinco vulnerabilidades de seguridad críticas en su actualización del martes de parches de septiembre, junto con dos días cero calificados como "importantes" bajo ataque activo en la naturaleza.

En total, Microsoft lanzó 59 nuevos parches que solucionan errores en toda la gama de productos: afectan a Microsoft Windows, Exchange Server, Office, .NET y Visual Studio, Azure, Microsoft Dynamics y Windows Defender.

La actualización también incorpora un puñado de problemas de terceros, incluido un Error crítico de día cero de Chromium, explotado activamente que afecta a Microsoft Edge. Con las emisiones externas, el número de CVE asciende a 65.

A pesar de la amplitud de las correcciones, los investigadores notaron que la priorización de parches es bastante sencilla este mes, con los días cero, los errores críticos y los problemas en Microsoft Exchange Server y la implementación del protocolo TCP/IP en Windows que deben pasar al frente. la línea para la mayoría de las organizaciones.

Microsoft Zero-Days bajo explotación activa

Si bien dos de los CVE figuran como utilizados por actores de amenazas en la naturaleza antes de aplicar el parche, solo uno figura como de conocimiento público. Ambos deberían estar en la parte superior de la lista de parches, por razones obvias.

El error público se encuentra en Microsoft Word (CVE-2023-36761, CVSS 6.2); Está clasificado como un problema de “divulgación de información”, pero Dustin Childs, investigador de la Iniciativa Día Cero (ZDI) de Trend Micro, señaló que esto contradice su gravedad.

"Un atacante podría utilizar esta vulnerabilidad para permitir la divulgación de hashes NTLM, que luego presumiblemente se utilizarían en un Ataque estilo retransmisión NTLM”, explicó en un martes publicación sobre el lanzamiento del parche de septiembre de Microsoft. “Independientemente de la clasificación, aquí el panel de vista previa también es un vector, lo que significa que no se requiere interacción del usuario. Definitivamente coloque este en la parte superior de su lista de prueba e implementación”.

El otro día cero existe en el sistema operativo Windows (CVE-2023-36802, CVSS 7.8), específicamente en el proxy del servicio de transmisión de Microsoft Stream (anteriormente conocido como Office 365 Video). Para una explotación exitosa, un atacante necesitaría ejecutar un programa especialmente diseñado que permitiría escalar privilegios a privilegios de administrador o del sistema, según el aviso.

“Es la octava vulnerabilidad de día cero con elevación de privilegios explotada en la naturaleza en 2023”, le dice a Dark Reading Satnam Narang, ingeniero de investigación senior de Tenable. “Porque los atacantes tienen una Infinidad de formas de violar las organizaciones, simplemente obtener acceso a un sistema puede no siempre ser suficiente, y es ahí donde las fallas de elevación de privilegios se vuelven mucho más valiosas, especialmente las de día cero”.

Septiembre de 2023 Vulnerabilidades críticas

Cuando se trata de errores críticos, uno de los más preocupantes es CVE-2023-29332, que se encuentra en el servicio Azure Kubernetes de Microsoft. Podría permitir que un atacante remoto y no autenticado obtenga Clúster de Kubernetes privilegios de administración.

"Este se destaca porque se puede acceder a él desde Internet, no requiere interacción del usuario y está catalogado como de baja complejidad", advirtió Childs en su publicación. "Basado en el aspecto remoto y no autenticado de este error, esto podría resultar bastante tentador para los atacantes".

Tres de los parches calificados como críticos son problemas de RCE que afectan a Visual Studio (CVE-2023-36792, CVE-2023-36793y CVE-2023-36796, todos con una puntuación CVSS de 7.8). Todos ellos podrían provocar la ejecución de código arbitrario al abrir un archivo de paquete malicioso con una versión afectada del software.

“Dadas las ventajas de Visual Studio uso generalizado entre los desarrolladores, el impacto de tales vulnerabilidades podría tener un efecto dominó, extendiendo el daño mucho más allá del sistema inicialmente comprometido”, Tom Bowyer, gerente de seguridad de productos de Automox, dijo en una publicación. "En el peor de los casos, esto podría significar el robo o la corrupción del código fuente propietario, la introducción de puertas traseras o una manipulación maliciosa que podría convertir su aplicación en una plataforma de lanzamiento para ataques a otros".

La última cuestión crítica es CVE-2023-38148 (CVSS 8.8, el más severo que Microsoft parchó este mes), que permite la ejecución remota de código no autenticado a través de la función Conexión compartida a Internet (ICS) en Windows. Su riesgo se ve mitigado por el hecho de que un atacante tendría que estar adyacente a la red; Además, la mayoría de las organizaciones ya no utilizan ICS. Sin embargo, aquellos que todavía lo usan deben parchearlo inmediatamente.

"Si los atacantes aprovechan esta vulnerabilidad con éxito, podría haber una pérdida total de confidencialidad, integridad y disponibilidad", afirma Natalie Silva, ingeniera líder en ciberseguridad de Immersive Labs. “Un atacante no autorizado podría aprovechar esta vulnerabilidad enviando un paquete de red especialmente diseñado al servicio. Esto podría conducir a la ejecución de código arbitrario, lo que podría resultar en acceso no autorizado, manipulación de datos o interrupción de los servicios”.

Otros parches de Microsoft para priorizar

También se incluye en la actualización de septiembre un conjunto de errores de Microsoft Exchange Server que se consideran "más propensos a ser explotados".

El trío de cuestiones (CVE-2023-36744, CVE-2023-36745y CVE-2023-36756, todos con una calificación CVSS de 8.0) afectan las versiones 2016-2019 y permiten ataques RCE contra el servicio.

“Si bien ninguno de estos ataques resulta en RCE en el servidor en sí, podría permitir que un atacante adyacente a la red con credenciales válidas altere los datos del usuario o obtenga un hash Net-NTLMv2 para una cuenta de usuario específica, que a su vez podría descifrarse para recuperarse. una contraseña de usuario o retransmitida internamente en la red para atacar otro servicio”, dice Robert Reeves, ingeniero principal de ciberseguridad de Immersive.

Y añade: "Si los usuarios privilegiados (aquellos con permisos de administrador de dominio o similares dentro de la red) tienen un buzón creado en Exchange, en contra de los consejos de seguridad de Microsoft, un ataque de retransmisión de este tipo podría tener consecuencias significativas".

Y finalmente, los investigadores de Automox detectaron una vulnerabilidad de denegación de servicio (DoS) en Windows TCP/IP (CVE-2023-38149, CVSS 7.5) como uno a priorizar.

El error afecta a cualquier sistema en red y "permite que un atacante a través de un vector de red interrumpa el servicio sin ninguna autenticación de usuario o alta complejidad", dijo Jason Kikta, CISO de Automox, en un desglose del martes de parches. “Esta vulnerabilidad representa una amenaza significativa… para el panorama digital. Estas debilidades pueden explotarse para sobrecargar los servidores, interrumpiendo el funcionamiento normal de las redes y servicios y provocando que dejen de estar disponibles para los usuarios”.

Dicho todo esto, los sistemas con IPv6 deshabilitado no se ven afectados.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/microsoft-patches-pair-of-actively-exploited-zero-days