Microsoft lanzó su conjunto final de actualizaciones de Patch Tuesday para
2023, cerrando
33 fallas
en su software, lo que lo convierte en uno de los lanzamientos más ligeros de
los últimos años.
De las 33 vulnerabilidades, cuatro se consideran crÃticas y 29 se
consideran importantes en cuanto a su gravedad. Las correcciones se suman a
18 fallas que Microsoft solucionó en su navegador Edge
basado en Chromium desde el lanzamiento de las actualizaciones del martes de
parches para noviembre de 2023.
Según
datos de Zero Day Initiative, el gigante del software ha parcheado más de 900 fallas este año, lo que lo
convierte en uno de los años de mayor actividad para los parches de Microsoft.
A modo de comparación,
Redmond resolvió 917 CVE en 2022.
Si bien ninguna de las vulnerabilidades figura como conocida públicamente o
bajo ataque activo en el momento del lanzamiento, algunas de las más notables
se enumeran a continuación:
-
CVE-2023-35628
(CVSS 8.1): Windows MSHTML Platform Remote Code Execution
Vulnerability -
CVE-2023-35630
(CVSS 8.8): Internet Connection Sharing (ICS) Remote Code Execution
Vulnerability -
CVE-2023-35636
(CVSS 6.5): Microsoft Outlook Information Disclosure Vulnerability -
CVE-2023-35639
(CVSS 8.8): Microsoft ODBC Driver Remote Code Execution
Vulnerability -
CVE-2023-35641
(CVSS 8.8): Internet Connection Sharing (ICS) Remote Code Execution
Vulnerability -
CVE-2023-35642
(CVSS 6.5): Internet Connection Sharing (ICS) Denial-of-Service
Vulnerability -
CVE-2023-36019
(CVSS 9.6): Microsoft Power Platform Connector Spoofing
Vulnerability. Es importante porque permite al atacante enviar una URL
especialmente diseñada al objetivo, lo que resulta en la ejecución de
scripts maliciosos en el navegador de la vÃctima. «Un atacante podrÃa manipular un enlace, aplicación o archivo malicioso para
disfrazarlo como un enlace o archivo legÃtimo para engañar a la vÃctima», dijo Microsoft en un aviso.
Microsoft también soluciona tres fallas en el servicio del servidor del protocolo DHCP que podrÃan provocar una
denegación de servicio o divulgación de información.
-
CVE-2023-35638 (CVSS score: 7.5) – DHCP Server Service Denial-of-Service
Vulnerability -
CVE-2023-35643 (CVSS score: 7.5) – DHCP Server Service Information
Disclosure Vulnerability -
CVE-2023-36012 (CVSS score: 5.3) – DHCP Server Service Information
Disclosure Vulnerability
La divulgación también se produce cuando Akamai descubrió un nuevo conjunto de
ataques contra dominios de Active Directory que utilizan servidores DHCP de
Microsoft.
«Estos ataques podrÃan permitir a los atacantes falsificar registros DNS
confidenciales, lo que tendrÃa diversas consecuencias, desde el robo de
credenciales hasta el compromiso total del dominio de Active Directory», dijo Ori David en un
informe
la semana pasada.
«Los ataques no requieren ninguna credencial y funcionan con la
configuración predeterminada del servidor
DHCP de Microsoft«.
La empresa de seguridad e infraestructura web señaló además que el impacto de
las fallas puede ser significativo, ya que pueden explotarse para falsificar
registros DNS en servidores DNS de Microsoft, incluida una sobrescritura
arbitraria no autenticada de registros DNS, lo que permite a un actor obtener
una máquina en el -posición media sobre hosts en el dominio y acceso a datos
confidenciales.
Microsoft, en respuesta a los hallazgos, dijo que
«los problemas son por diseño o no son lo suficientemente graves como para
recibir una solución», lo que requiere que los usuarios deshabiliten las actualizaciones dinámicas
de DNS de DHCP si no son necesarias y se abstengan de usar DNSUpdateProxy.
Otros softwares con actualizaciones en diciembre
- Amazon Web Services
- Android
-
Apache Projects
(including
Apache Struts) - Apple
- Arm
- Atlassian
- Atos
- Cisco
- CODESYS
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Chromecast
- Google Cloud
- Google Wear OS
- Hikvision
- Hitachi Energy
- HP
- IBM
- Jenkins
- Lenovo
-
Linux distributions
Debian,
Oracle Linux,
Red Hat, SUSE, and
Ubuntu -
MediaTek
(including
5Ghoul) - Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
-
Qualcomm
(including
5Ghoul) - Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
-
Sophos
(backports a fix for
CVE-2022-3236
to unsupported versions of the Sophos Firewall) - Spring Framework
- Veritas
- VMware
- WordPress
- Zoom
- Zyxel
THN
Los comentarios están cerrados.