Actualizaciones de septiembre de 2023 de Microsoft y Chrome

Microsoft abordó cinco vulnerabilidades de seguridad críticas en su
actualización del martes de septiembre, junto con dos Zero-Days calificados como
“importantes” y bajo ataque activo.

En total, Microsoft lanzó actualizaciones que solucionan 61 vulnerabilidades en toda la
gama de productos: afectan a Microsoft Windows, Exchange Server, Office, .NET
y Visual Studio, Azure, Microsoft Dynamics y Windows Defender.

La actualización también incorpora un puñado de problemas de terceros,
incluido
un error crítico Zero-Day en Chromium activamente explotado
y que afecta a Microsoft Edge y Google Chrome. Con estos parches “externos”, el número de CVE asciende a 66.

Microsoft Zero-Days bajo explotación activa

Si bien dos de los CVE figuran como utilizados por actores de amenazas en la
naturaleza antes de aplicar el parche, solo uno figura como de conocimiento
público. Ambos deberían estar en la parte superior de la lista de parches, por
razones obvias.

El error público se encuentra en Microsoft Word (CVE-2023-36761, CVSS 6.2); Está clasificado como un problema de “divulgación de
información”, pero Dustin Childs, investigador de Trend Micro’s Zero Day
Initiative (ZDI), señaló que esto contradice su gravedad.
“Un atacante podría usar esta vulnerabilidad para permitir la divulgación
de hashes NTLM, que luego presumiblemente se usarían en un
ataque estilo retransmisión NTLM“,
explicó en su publicación.
“Independientemente de la clasificación, el panel de vista previa aquí
también es un vector, lo que significa que no se requiere interacción del
usuario. Definitivamente se debe colocar este parche en la parte superior de
la lista de implementación”.

El otro Zero-Day existe en el sistema operativo Windows (CVE-2023-36802, CVSS 7.8), concretamente en el proxy del servicio de streaming de Microsoft
Stream (anteriormente conocido como Office 365 Video). Según el aviso, para
una explotación exitosa, un atacante necesitaría ejecutar un programa
especialmente diseñado que permitiría escalar privilegios como
administrator o system.

“Esta es la octava vulnerabilidad Zero-Day de elevación de privilegios y
explotada en estado salvaje en 2023. Debido a que
los atacantes tienen innumerables formas de violar las organizaciones, simplemente obtener acceso a un sistema puede no siempre ser suficiente, y
es ahí donde las fallas de elevación de privilegios se vuelven mucho más
valiosas, especialmente los días cero.

Vulnerabilidades críticas

Cuando se trata de errores críticos, uno de los más preocupantes es
CVE-2023-29332, que se encuentra en el servicio Azure Kubernetes de Microsoft.
Podría permitir que un atacante remoto y no autenticado obtenga privilegios
de administración del
clúster de Kubernetes.

“Este se destaca porque se puede acceder a él desde Internet, no requiere
interacción del usuario y está catalogado como de baja complejidad”, advirtió Childs en su publicación.
“Basado en el aspecto remoto y no autenticado de este error, esto podría
resultar bastante tentador para los atacantes”.

Tres de los parches calificados como críticos son problemas de RCE que afectan
a Visual Studio (CVE-2023-36792,
CVE-2023-36793
y
CVE-2023-36796, todos con una puntuación CVSS de 7,8). Todos ellos podrían provocar la
ejecución de código arbitrario al abrir un archivo de paquete malicioso con
una versión afectada del software.

“Dado el uso generalizado de Visual Studio entre los desarrolladores, el
impacto de tales vulnerabilidades podría tener un efecto dominó, extendiendo
el daño mucho más allá del sistema inicialmente comprometido”,
dijo en una publicación Tom Bowyer, gerente de seguridad de productos de Automox.
“En el peor de los casos, esto podría significar el robo o la corrupción
del código fuente propietario, la introducción de puertas traseras o una
manipulación maliciosa que podría convertir su aplicación en una plataforma
de lanzamiento para ataques a otros”.

El último problema crítico es
CVE-2023-38148
(CVSS 8.8, el más grave que Microsoft parchó este mes), que permite la
ejecución remota de código no autenticado a través de la función
Internet Connection Sharing (ICS)
en Windows. Su riesgo se ve mitigado por el hecho de que un atacante tendría
que estar adyacente a la red y, además, la mayoría de las organizaciones ya no
utilizan ICS. Sin embargo, aquellos que todavía lo usan deben parchearlo
inmediatamente.

“Si los atacantes aprovechan esta vulnerabilidad con éxito, podría haber
una pérdida total de confidencialidad, integridad y disponibilidad”, afirma Natalie Silva, ingeniera líder en ciberseguridad de Immersive Labs.
“Un atacante no autorizado podría aprovechar esta vulnerabilidad enviando
un paquete de red especialmente diseñado al servicio. Esto podría llevar a
la ejecución de código arbitrario, lo que podría resultar en acceso no
autorizado, manipulación de datos o interrupción de los servicios”.

También se incluye en la actualización de septiembre un conjunto de errores de
Microsoft Exchange Server que se consideran “más propensos a ser explotados”.

El trío de problemas (CVE-2023-36744,
CVE-2023-36745
y
CVE-2023-36756, todos con una calificación CVSS de 8.0) afectan a las versiones 2016-2019 y
permiten ataques RCE contra el servicio.

“Si bien ninguno de estos ataques resulta en RCE en el servidor en sí,
podría permitir que un atacante adyacente a la red con credenciales válidas
altere los datos del usuario o obtenga un hash Net-NTLMv2 para una cuenta de
usuario específica, que a su vez podría descifrarse para recuperarse. una
contraseña de usuario o retransmitida internamente en la red para atacar
otro servicio”, afirma Robert Reeves, ingeniero principal de ciberseguridad de Immersive.

Y añade:
“Si los usuarios privilegiados (aquellos con permisos de administrador de
dominio o similares dentro de la red) tienen un buzón creado en Exchange, en
contra de los consejos de seguridad de Microsoft, un ataque de retransmisión
de este tipo podría tener consecuencias significativas”.

Y finalmente, los investigadores de Automox señalaron una vulnerabilidad de
denegación de servicio (DoS) en Windows TCP/IP (CVE-2023-38149, CVSS 7.5) como una a priorizar. El error afecta a cualquier sistema en red
y
“permite que un atacante a través de un vector de red interrumpa el
servicio sin ninguna autenticación de usuario o alta complejidad. Estas
debilidades pueden explotarse para sobrecargar los servidores,
interrumpiendo el funcionamiento normal de las redes y servicios, y
provocando que dejen de estar disponibles para los usuarios”. Dicho todo esto, los sistemas con IPv6 deshabilitado no se ven afectados

Zero-Day crítico en Chrome

Se descubrió una
vulnerabilidad Zero-Day con gravedad crítica en Google Chrome y se
publicó una actualización de seguridad de emergencia de Chrome 116, después de
que se observara activamente en la naturaleza.

La vulnerabilidad se informó como “a heap buffer overflow in WebP”. Los
desbordamientos del búfer ocurren cuando una aplicación escribe más datos en
un búfer de memoria de los que el búfer puede contener; esto puede provocar
que una aplicación falle, lo que genera la posibilidad de ejecución de código
arbitrario. Mientras tanto, WebP es
“un formato de imagen que proporciona una compresión superior sin pérdida y
con pérdida para imágenes en la Web”, lo que significa que los desarrolladores web pueden usarlo para crear
imágenes más pequeñas y ricas en comparación con las imágenes con formato JPEG
y PNG. A su vez, eso permite que la Web funcione más rápido. Las imágenes WebP
son compatibles con la mayoría de los navegadores modernos, como Chrome,
Firefox, Safari, Edge y Opera.

El problema fue informado por Apple Security Engineering and Architecture
(SEAR) y el organismo de control de software espía The Citizen Lab el 6 de
septiembre, y
Google informó que tiene conocimiento de que hay un exploit para el error,
rastreado como CVE-2023-4863.

Fuente:
DarkReading

Publicaciones

Publicaciones