No hay días cero este mes, si ignora el agujero de Edge RCE parchado la semana pasada (asegúrate de tener esa actualización, por cierto):

Para obtener una lista completa de las correcciones del martes de parches de Microsoft de este mes, eche un vistazo a nuestro sitio hermano Sophos News, donde los analistas de SophosLabs han recopilado listas completas de los numerosos CVE de Microsoft que se corrigieron este mes:

Justo como te gusta

Afortunadamente, nuestros investigadores han creado varias listas, convenientemente ordenados por tipo de error y gravedad (para que pueda distinguir las ejecuciones remotas de su código desde sus elevaciones de privilegios); por las conjeturas de Microsoft en el probabilidad de que los delincuentes descubran exploits que funcionan para cada error (en caso de que desee priorizar sus esfuerzos de esa manera), y por tipo de producto (si desea dividir sus esfuerzos de parcheo entre su equipo de servidores, sus expertos de Office y su equipo de soporte de computadoras portátiles).

En caso de que te lo preguntes, había 26 parches de ejecución remota de código (RCE), incluidos cuatro denominados "Críticos", aunque tres de ellos parecen ser errores relacionados que se encontraron y corrigieron juntos en un solo componente de Windows.

Los parches RCE generalmente causan la mayor preocupación, porque se ocupan de los errores que, al menos en teoría, pueden ser explotados por atacantes que aún no tienen un punto de apoyo en su red, lo que significa que representan posibles formas de que los delincuentes entren. en primer lugar.

No hubo 17 correcciones de elevación de privilegios (EoP), solo uno de los cuales Microsoft considera "crítico", irónicamente en SharePoint Server, que es la herramienta en la que muchas empresas confían para intercambiar grandes cantidades de datos de forma segura dentro de sus redes.

En otras palabras, el acceso no autorizado a SharePoint podría dar a los atacantes un pase gratuito para acceder directamente a sus propios datos de trofeos, o incluso a los de sus clientes, como sucedió recientemente con numerosas empresas que utilizan el servicio de intercambio de archivos de la competencia. Muévelo.

Como probablemente sepa, el problema con los errores de EoP es que a menudo se explotan como el segundo paso en un ataque desde el exterior, utilizado por los ciberdelincuentes para aumentar sus privilegios de acceso tan pronto como pueden después de ingresar.

Esto puede convertir una brecha de seguridad que comenzó con una exposición inicial comparativamente limitada (por ejemplo, acceso deshonesto solo a los archivos locales en la computadora portátil de un usuario)...

…en un incidente mucho más peligroso (por ejemplo, acceso deshonesto a la computadora portátil de todos los demás en la red, y quizás también a todos sus servidores corporativos, como bases de datos de clientes, sistemas de pago, copias de seguridad y más).

Agujeros notables

Los expertos de SophosLabs han identificado seis de los CVE como "notable".

Dirígete a nuestro informe de formato largo para obtener más información sobre esos seis errores.

Por ahora, solo enumeraremos cinco de ellos aquí:

• CVE-2023-29357. Vulnerabilidad de elevación de privilegios de Microsoft SharePoint Server. Este error podría darle a un ladrón que tiene acceso a su red, pero que no tiene un inicio de sesión en su sistema de SharePoint, una forma de robar las credenciales de acceso de un usuario legítimo y así eludir la necesidad de encontrar un nombre de usuario, contraseña o Código 2FA propio.
• CVE-2023-29363, -32014 y -32015. Vulnerabilidad de ejecución remota de código Pragmatic General Multicast (PGM) de Windows. Si usa el servicio de cola de mensajes de Windows en su red, estos errores podrían permitir a los atacantes engañar a un dispositivo en su red para que ejecute el código de su elección.
• CVE-2023-33146. Vulnerabilidad de ejecución remota de código de Microsoft Office. Aparentemente, este error puede ser provocado por archivos de SketchUp con trampas explosivas (nunca hemos oído hablar de la aplicación SketchUp, y mucho menos la hemos usado, pero aparentemente es un popular programa de gráficos en 3D) incrustados en una amplia gama de archivos de Office, incluido Word. , Excel, PowerPoint y Outlook.

Curiosamente, el parche para CVE-2023-33146 parece ser un síntoma de problemas de seguridad más amplios sin resolver en el soporte de Office para manejar objetos de SketchUp, presumiblemente debido a la dificultad de analizar, procesar e incrustar de manera segura otro formato de archivo complejo en los documentos de Office.

De hecho, el 2023-06-01, Microsoft anunciado oficialmente que estaba apagando el sistema de incrustación de SketchUp hasta nuevo aviso (nuestro énfasis):

La capacidad de insertar gráficos de SketchUp (archivos .skp) se ha desactivado temporalmente en Word, Excel, PowerPoint y Outlook para Windows y Mac. Las versiones de Office que tenían esta característica habilitada ya no tendrán acceso a ella. […] Agradecemos su paciencia mientras trabajamos para garantizar la seguridad y la funcionalidad de esta función.

El avance de las características mediante el cual los objetos incrustados en los archivos de Office introducen nuevos riesgos de seguridad... ¿quién lo diría?

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
• Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/06/14/patch-tuesday-fixes-4-critical-rce-bugs-and-a-bunch-of-office-holes/