Este martes, 2023-07-11, fue el de Microsoft Martes de Parches para julio de 2023, así que aquí hay un breve recordatorio para hacer dos cosas:
- Parche temprano, parche a menudo.
Este mes se corrigieron más de 100 vulnerabilidades, incluidos cuatro agujeros de seguridad de día cero para los que ya existe un código de explotación funcional.
Aunque todos estuvieron en riesgo hasta el martes, es importante no ser una de esas personas que permanece en riesgo más tiempo del necesario.
Cuando los defensores cierran los agujeros de los que ya están abusando los ciberdelincuentes, debe asumir una cosa: esos delincuentes centrarán su atención en los rezagados contra los cuales esos ataques ahora parcheados aún son efectivos, para extraer el último "valor" de sus antiguos agujeros de día cero.
- Diríjase a nuestro sitio hermano Sophos News para obtener detalles oficiales sobre los parches.
Hemos publicado una lista inevitablemente larga, basada en datos oficiales de Microsoft, para ayudarte a navegar a través de los muchos números CVE y explicaciones de errores relevantes para los numerosos productos y servicios afectados.
Creemos que encontrará la información más fácil de trabajar, como punto de partida, que las propias tablas y gráficos de Redmond.
También hemos publicado un en profundidad artículo acerca de un problema de seguridad en curso que era lo suficientemente grave como para ser abordado en un Aviso de Microsoft (ADV230001).
Le hemos brindado detalles importantes, interesantes e informativos sobre la saga en curso de controladores de kernel maliciosos, muchos de ellos firmados y aprobados por el propio Microsoft, que finalmente han sido bloqueados por Windows.
Dos conclusiones rápidas
Como hemos mencionado anteriormente, puede leer acerca de correcciones de seguridad de Microsoft de este mes en Sophos News, pero hay dos partes del conjunto de parches de este mes que pensamos que cubriríamos aquí.
El primer punto importante es el asunto de aquellos cuatro días cero que ya nos referimos.
CVE-2023-32049 y CVE-2023-35311 son exploits de elusión de seguridad, lo que significa que los delincuentes pueden abusar de estos errores para eludir las protecciones de seguridad que, de otro modo, intervendrían para ayudarlo a evitar una infección de malware o un posible ataque.
Entre ellos, estos errores permiten que los delincuentes le presenten URL web con trampas explosivas en su navegador, o contenido de correo electrónico malicioso en Outlook, que generalmente mostraría una advertencia para recordarle los riesgos y darle la oportunidad de rescatar y protégete…
…sin que esas advertencias aparezcan en absoluto.
Aunque esto no es tan peligroso como un verdadero agujero de ejecución remota de código (RCE), donde un extraño podría engañarlo para que ejecute un programa malicioso simplemente viendo una página web o iniciando un servicio de red en particular, puede ver por qué los errores de seguridad de este tipo son oro en polvo para los ciberdelincuentes.
Omitir las advertencias de seguridad que los usuarios esperan, y quizás en las que confían, brindan una forma simple y efectiva de atraer incluso a los usuarios cuidadosos y bien informados para que cometan errores costosos.
También hay parches para dos exploits de elevación de privilegios (EoP) de día cero.
Los exploits EoP significan que los delincuentes que ya están en su red, pero sin la capacidad de hacer mucho daño o robar muchos datos, pueden ascender al nivel de administrador del sistema y, por lo tanto, esencialmente emitirse insignias de seguridad de "acceso a todas las áreas".
Problemas con los conductores dudosos
El segundo elemento importante es la cuestión de ADV230001, el aviso de Microsoft titulado Orientación sobre el uso malintencionado de controladores firmados por Microsoft.
Esta saga comenzó a fines de 2022, cuando los investigadores de Sophos se encontraron con algo que no se ve tan a menudo como antes, a saber controladores del kernel de Windows no autorizados:
Lo mejor de los controladores del kernel es que brindan una forma para que el software de terceros se involucre de manera útil en los niveles más bajos del sistema operativo, como admitir hardware de computadora esotérico, brindar protección de seguridad cibernética adicional, monitorear y administrar detalles que de otro modo serían invisibles, incluidos asignación de memoria y uso de recursos, y más.
Un programa antivirus a nivel de kernel, por ejemplo, puede saltar antes de que se ejecute cada programa, y no solo informar, sino también bloquear activamente la carga del software no autorizado.
Lo no tan bueno de los controladores del kernel es que ofrecen las mismas capacidades de bajo nivel, megapeligrosas y potencialmente subversivas para los creadores de malware y los ciberdelincuentes.
De hecho, las herramientas de malware a nivel de kernel, a menudo conocidas como rootkits, puede hacer el mismo tipo de magia de bajo nivel a la inversa, por ejemplo, vigilando los programas maliciosos conocidos y evitando que se bloqueen en primer lugar, e incluso haciéndolos aparentemente invisibles para las herramientas de escaneo, el software de listado de directorios y el inventario. -Tomar aplicaciones.
Su nombre rootkit proviene de los primeros programas maliciosos de Unix y hace referencia a la idea de un kit de herramientas de software que lo ayudan no solo a obtener acceso de nivel de administrador en primer lugar (conocido como raíz en Unix y sistemas similares a Unix), sino también para pasar desapercibido el mayor tiempo posible.
Represión del conductor
Como resultado de la proliferación y el abuso de los rootkits en Windows XP, Microsoft comenzó a tomar medidas drásticas con los controladores del kernel, comenzando desde Windows Vista.
De hecho, en las versiones actuales de Windows en las que está habilitado el Arranque seguro, solo puede cargar controladores de kernel que hayan sido revisados oficialmente y firmados digitalmente por Microsoft. (Hay excepciones a esta regla, pero no puede crear y cargar fácilmente un controlador de kernel hoy sin enviarlo primero a Microsoft para su examen).
Aunque puede aceptar, aunque a regañadientes, que los servicios de validación de código como App Store de Apple y Play Store de Google serán inevitablemente permeables al malware, dado que su objetivo es examinar y aprobar un gran número de aplicaciones de terceros de forma rápida, automática y objetiva...
…usted podría razonablemente esperar que los controladores del kernel, dados sus poderes peligrosos y su rareza comparativa en comparación con las aplicaciones normales, serían casi imposibles de escabullirse del proceso de verificación de Windows.
Sin embargo, los descubrimientos de controladores no autorizados de SophosLabs en diciembre pasado finalmente arrojaron un lista significativa de malware a nivel de kernel, incluidos 100 controladores firmados "personalmente" por el propio Microsoft.
68 de los controladores no autorizados aprobados por Microsoft eran herramientas antivirus, destinadas a eliminar el software de seguridad "desde abajo" abusando del poder y la autoridad del sistema operativo.
El resto eran rootkits más generales destinados a espiar y manipular datos dentro del sistema operativo, donde información tan íntima como paquetes de red individuales hacia y desde cada programa en ejecución puede espiarse, vigilarse y alterarse furtivamente.
Para obtener más información sobre la fascinante historia de fondo de estos controladores de crimeware mal firmados, lea nuestro artículo titulado Microsoft revoca controladores maliciosos en Patch Tuesday Culling:
¿Qué hacer?
Lo dijimos en la parte superior, aunque en palabras ligeramente diferentes: No se demore; hazlo hoy.
Si usted es responsable de su propia computadora, simplemente vaya a Ajustes > Windows Update > Buscar actualizaciones para ver si estás actualizado o no.
No olvide que las actualizaciones no se completarán hasta que reinicie su computadora, así que procure hacerlo lo antes posible.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/07/12/microsoft-patches-four-zero-days-finally-takes-action-against-crimeware-kernel-drivers/
