Es la semana del martes de parches (si nos permite nuestro pleonasmo diario), y las actualizaciones de Microsoft incluyen correcciones para una serie de agujeros de seguridad que la compañía ha denominado Critical, junto con una solución de día cero, aunque el día 0 solo obtiene una calificación de Importante:.
El día 0 probablemente se salió con la suya al no ser crítico porque no es un agujero de ejecución remota de código (RCE), lo que significa que no puede ser explotado por alguien que aún no haya pirateado su computadora.
Ese es CVE-2023-28252, un error de elevación de privilegios (EoP) en el Controlador del sistema de archivos de registro comunes de Windows.
El problema con los errores de Windows EoP, especialmente en los controladores que se instalan de manera predeterminada en todas las computadoras con Windows, es que casi siempre permiten que los atacantes con pocos o ningún privilegio de acceso importante se promocionen directamente a la SYSTEM cuenta, dándoles un control total sobre su computadora.
Programas que se ejecutan como SYSTEM normalmente puede: cargar y descargar controladores de kernel; instalar, detener e iniciar servicios del sistema; leer y escribir la mayoría de los archivos en la computadora; cambiar los privilegios de acceso existentes; ejecutar o eliminar otros programas; espiar otros programas; meterse con partes seguras del registro; y mucho más.
Irónicamente, el Sistema de archivo de registro común (CLFS) está diseñado para aceptar y administrar solicitudes de registro oficiales en nombre de cualquier servicio o aplicación en la computadora, en un esfuerzo por garantizar el orden, la precisión, la consistencia y la seguridad en el mantenimiento de registros oficiales a nivel del sistema.
Dos hoyos críticos de alta puntuación
Dos errores críticos en particular captaron nuestro interés.
La primera de ellas es CVE-2023-21554, un agujero RCE en el Cola de mensajes de Microsoft system, o MSMQ, un componente que se supone que proporciona una forma a prueba de fallas para que los programas se comuniquen de manera confiable, independientemente del tipo de conexiones de red que existan entre ellos.
El servicio MSMQ no está activado de forma predeterminada, pero en sistemas back-end de alta confiabilidad donde los mensajes de red TCP o UDP regulares no se consideran lo suficientemente sólidos, es posible que MSMQ esté habilitado.
(de Microsoft ejemplos propios de las aplicaciones que podrían beneficiarse de MSMQ incluyen servicios de procesamiento financiero en plataformas de comercio electrónico y sistemas de manejo de equipaje en aeropuertos).
Desafortunadamente, a pesar de que este error no está en estado salvaje, recibió una calificación de Crítico y un "puntaje de peligro" de CVSS de 9.8/10.
La descripción del error de dos oraciones de Microsoft dice simplemente:
Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ. Esto podría resultar en la ejecución remota de código en el lado del servidor.
En función de la puntuación CVSS alta y de lo que Microsoft no mencionó en la descripción anterior, asumimos que los atacantes que explotan este agujero no necesitan iniciar sesión ni haber pasado por ningún proceso de autenticación primero.
Peligro de DHCP
El segundo error crítico que nos llamó la atención es CVE-2023-28231, un agujero de RCE en Microsoft Servicio de servidor DHCP.
DHCP es la abreviatura de protocolo de configuración huésped dinámico, y se usa en casi todas las redes de Windows para distribuir direcciones de red (números de IP) a las computadoras que se conectan a la red.
Esto ayuda a evitar que dos usuarios intenten accidentalmente usar el mismo número de IP (lo que provocaría que sus paquetes de red entren en conflicto), así como a realizar un seguimiento de qué dispositivos están conectados en cualquier momento.
Por lo general, los errores de ejecución remota de código en los servidores DHCP son extremadamente peligrosos, aunque los servidores DHCP generalmente solo funcionan en la red local y no a través de Internet.
Esto se debe a que DHCP está diseñado para intercambiar paquetes de red, como parte de su "baile de configuración", no solo antes de que ingrese una contraseña o antes de proporcionar un nombre de usuario, sino como el primer paso para poner su computadora en línea. a nivel de red.
En otras palabras, los servidores DHCP deben ser lo suficientemente robustos para aceptar y responder paquetes de dispositivos desconocidos y no confiables, solo para que su red pueda comenzar a decidir cuánta confianza depositar en ellos.
Sin embargo, afortunadamente, este error en particular obtiene una puntuación ligeramente más baja que el error MSMQ mencionado anteriormente (su nivel de peligro CVSS es 8.8/10) porque está en una parte del servicio DHCP a la que solo se puede acceder desde su computadora después de haber iniciado sesión.
En palabras de Microsoft:
Un atacante autenticado podría aprovechar una llamada RPC especialmente diseñada al servicio DHCP para aprovechar esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad requiere que un atacante primero obtenga acceso a la red restringida antes de ejecutar un ataque.
Cuando el arranque seguro es solo arranque
Los dos últimos errores que nos intrigaron fueron CVE-2023-28249 y CVE-2023-28269, ambos enumerados bajo el título Vulnerabilidad de omisión de la función de seguridad del administrador de arranque de Windows.
De acuerdo con Microsoft:
Un atacante que explotara con éxito [estas vulnerabilidades] podría pasar por alto el Arranque seguro para ejecutar código no autorizado. Para tener éxito, el atacante necesitaría acceso físico o privilegios de administrador.
Irónicamente, el objetivo principal del tan cacareado sistema de arranque seguro es que se supone que debe ayudarlo a mantener su computadora en un camino estricto e inquebrantable desde el momento en que la enciende hasta el punto en que Windows toma el control.
De hecho, se supone que Secure Boot evita que los atacantes que roban su computadora inyecten cualquier código trampa que podría modificar o subvertir el proceso de inicio inicial en sí, un truco que se conoce en la jerga como bootkits.
Los ejemplos incluyen el registro secreto de las pulsaciones de teclas que ingresa al ingresar el código de desbloqueo de cifrado de disco de BitLocker (sin el cual es imposible iniciar Windows), o la alimentación furtiva de sectores de disco modificados en el código del cargador de arranque que se lee en el kernel de Windows para que se inicie de manera insegura.
Este tipo de traición a menudo se denomina ataque de "limpiador malvado", basado en el escenario de que cualquier persona con acceso oficial a su habitación de hotel mientras usted está fuera, como un limpiador traidor, podría inyectar un bootkit discretamente, por ejemplo, iniciando su computadora portátil brevemente desde una unidad USB y dejando que un script automático haga el trabajo sucio...
…y luego use un truco igualmente rápido y sin intervención al día siguiente para recuperar datos robados, como pulsaciones de teclas, y elimine cualquier evidencia de que el bootkit estuvo alguna vez allí.
En otras palabras, el Arranque seguro está destinado a evitar que una computadora portátil correctamente encriptada sea subvertida, incluso, o quizás especialmente, por un ciberdelincuente que tiene acceso físico a ella.
Entonces, si tuviéramos una computadora con Windows para el uso diario, estaríamos corrigiendo estos errores como si fueran Críticos, a pesar de que la calificación de Microsoft es solo Importante.
¿Qué hacer?
- Parche ahora. Con un día cero que ya está siendo explotado por delincuentes, dos errores críticos de alto puntaje CVSS que podrían conducir a la implantación remota de malware y dos errores que podrían eliminar la seguridad del arranque seguro, ¿por qué demorar? ¡Solo hazlo hoy!
- Lea la Informe de SophosLabs que analiza los parches de este mes de manera más amplia. Con 97 CVE parcheados en total en Windows, Visual Studio Code, SQL Server, Sharepoint y muchos otros componentes, hay muchos más errores que los administradores de sistemas deben conocer.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/04/12/microsoft-fixes-a-zero-day-and-two-curious-bugs-that-take-the-secure-out-of-secure-boot/
