You have not selected any currencies to display

Bl0ckch41nnewsZero-Days explotados activamente en las actualizaciones de MS de noviembre

28


Microsoft publicó actualizaciones para un total de 63 errores en su
boletín de noviembre de 2023, incluidos tres que los actores de amenazas ya están explotando activamente
y dos que se revelaron anteriormente pero que aún no han sido explotados.

Desde el punto de vista de los números brutos, la actualización de noviembre
de Microsoft es considerablemente más pequeña que la de octubre, que contenía
correcciones para 112 CVE.

Este mes se corrigen cinco vulnerabilidades de Zero-Day, tres de ellas
explotadas en ataques y tres divulgadas públicamente. Microsoft
clasifica una vulnerabilidad como de día cero si se divulga públicamente o
se explota activamente sin una solución oficial disponible.

La actualización de este mes también incluyó menos vulnerabilidades críticas
(tres) en comparación con los últimos meses. Microsoft ha evaluado todos los
CVE restantes, excepto cuatro, en sus actualizaciones de noviembre como de
gravedad moderada o importante.

El número de bugs por cada caegoría es el siguiente:

  • 16 Elevation of Privilege
  • 6 Security Feature Bypass
  • 15 Remote Code Execution
  • 6 Information Disclosure
  • 5 Denial of Service
  • 11 Spoofing

Un trío de Zero-Days que los atacantes están explotando activamente

Como siempre, la forma en que las organizaciones prioricen la corrección del
último conjunto de errores dependerá de una variedad de factores. Estos
incluyen la prevalencia de las vulnerabilidades en sus entornos específicos,
los activos afectados, la accesibilidad de esos activos, la facilidad de
explotación y otras consideraciones.

Pero como ocurre con cada actualización mensual de Microsoft, hay varios
errores en el último lote que los expertos en seguridad coincidieron en que
merecen mayor atención que otros. Los tres errores de día cero explotados
activamente encajan en esa categoría.

Uno de ellos es
CVE-2023-36036, una vulnerabilidad de escalamiento de privilegios en el controlador de
Windows Cloud Files Mini Filter Driver, el cual brinda a los atacantes una
forma de adquirir privilegios a nivel del sistema.

Microsoft ha evaluado la vulnerabilidad como una amenaza de gravedad moderada
(o importante), pero ha proporcionado relativamente pocos detalles sobre el
problema. Satnam Narang, ingeniero senior de investigación de Tenable,
identificó el error
como algo que probablemente será de interés para los actores de amenazas desde
el punto de vista de la actividad posterior al compromiso.
Un atacante requiere acceso local a un sistema afectado para explotar el
error. La explotación implica poca complejidad, interacción del usuario o
privilegios especiales.

El controlador de minifiltro de archivos en la nube de Windows es un
componente esencial para el funcionamiento de los archivos almacenados en la
nube en sistemas Windows, dice Saeed Abbasi, gerente de investigación de
vulnerabilidades y amenazas de Qualys.
«La presencia generalizada de este controlador en casi todas las versiones
de Windows amplifica el riesgo y proporciona una amplia superficie de
ataque. Actualmente está bajo ataque activo y representa un riesgo
significativo, especialmente cuando se combina con un error de ejecución de
código»
, afirma Abbasi.

El otro error de día cero en la actualización de noviembre de Microsoft es
CVE-2023-36033, una vulnerabilidad de escalamiento de privilegios en el componente Windows
DWM Core Library. Esta vulnerabilidad también permite el acceso a privilegios
a nivel de sistema en los sistemas afectados y es relativamente fácil de
explotar.
«Esta vulnerabilidad se puede explotar localmente, con baja complejidad y
sin necesidad de privilegios de alto nivel o interacción del usuario».
El error es algo que sería útil para un atacante que ya obtuvo acceso inicial
a un sistema, señaló Walters.

«Actualmente, esta vulnerabilidad está bajo ataque activo, lo que indica
una aplicación del mundo real por parte de actores maliciosos»
, afirma Abbasi.
«Aunque aún no se ha determinado completamente el alcance integral de estos
ciberataques, los patrones históricos indican que a menudo comienzan con
incidentes menores y aumentan progresivamente en escala».

El tercer error de día cero,
CVE-2023-36025, es una falla de omisión de seguridad que brinda a los atacantes una forma
de eludir las comprobaciones de Windows Defender SmartScreen que advierten
sobre sitios web maliciosos y archivos y aplicaciones riesgosos o no
reconocidos.

Esta es la tercera vulnerabilidad de día cero de Windows SmartScreen explotada
en estado salvaje en 2023 y la cuarta en los últimos dos años, según Narang de
Tenable.

Un atacante remoto puede explotar la vulnerabilidad a través de la red con
poca complejidad y sin interacción del usuario, escribió Walters en la
publicación del blog. Con una puntuación CVSS de 8,8/10, esto es algo a lo que
las organizaciones deben prestar atención, añadió Walters.
«Dada su alta calificación CVSS y el hecho de que se está explotando
activamente, esto convierte a CVE-2023-36025 en una de las vulnerabilidades
a las que se debe dar prioridad para parchear».

Dos errores (CVE-2023-36038, una vulnerabilidad de denegación de servicio que afecta a ASP.NET Core, y
CVE-2023-36413, una falla de omisión de características de seguridad en Microsoft Office)
se divulgaron públicamente antes del martes de parches de noviembre, pero
siguen sin explotar.

Errores de gravedad crítica

Las tres vulnerabilidades en la actualización de noviembre que Microsoft
evaluó como de gravedad crítica son:
CVE-2023-36397, una ejecución remota de código (RCE) en el protocolo Pragmatic General
Multicast de Windows para transportar datos de multidifusión;
CVE-2023-36400, un error de elevación de privilegios en la función de derivación de clave
HMAC de Windows; y
CVE-2023-36052, una falla de divulgación de información en un componente de Azure.

De los tres errores críticos, CVE-2023-36052 es probablemente el problema que
las organizaciones deben priorizar, afirma John Gallagher, vicepresidente de
Viakoo Labs en Viakoo. El error permite a un atacante utilizar comandos
comunes de la interfaz de línea de comandos para obtener acceso a credenciales
de texto sin formato: nombres de usuario y contraseñas.
«Es probable que estas credenciales se puedan utilizar en otros entornos
además de Azure DevOps o GitHub y, por lo tanto, crean un riesgo de
seguridad urgente»
, afirma Gallagher.

En una
publicación de blog del SANS Internet Storm Center, Johannes Ullrich, decano de investigación del SANS Technology Institute,
señaló el tema en Pragmatic General Multicast como un tema a tener en cuenta.
«CVE-2023-36397, una vulnerabilidad de ejecución remota de código en el
protocolo Pragmatic General Multicast (PGM) de Windows, es digna de mención,
ya que tuvimos parches para esto en meses anteriores»
, escribió Ullrich.
«Pero la explotación debería ser difícil. Requerirá acceso a la red local y
normalmente no está habilitado».

Jason Kitka, CISO de Automox, también señaló una vulnerabilidad de elevación
de privilegios de gravedad media (CVE-2023-36422) como un error que los
equipos de seguridad no deberían ignorar. Aunque Microsoft ha clasificado el
error como un problema «Importante», la amenaza que presenta es crítica porque
un atacante puede obtener privilegios del sistema explotando la
vulnerabilidad,
escribió Kitka en una publicación de blog.
«La estrategia de mitigación más efectiva contra tal amenaza es aplicar
rápidamente los parches disponibles y asegurarse de que estén
actualizados»
, escribió.

Las actualizaciones de otras compañias incluyen las siguientes

Para obtener más información sobre las actualizaciones no relacionadas con la
seguridad publicadas hoy, puede revisar nuestros artículos dedicados a la
nueva
actualización acumulativa KB5032190 de Windows 11
y la
actualización acumulativa KB5032189 de Windows 10.

Fuente:
DarkReading



Source link

Los comentarios están cerrados.