Los equipos de seguridad se enfrentan a unos días ajetreados después de la primera publicación mensual del martes de parches de Microsoft de 2023, que contiene correcciones para 98 vulnerabilidades distintas, 11 de ellas calificadas como críticas y una de día cero bajo explotación activa en estado salvaje, que fue descubierta por investigadores de Avast.
Rastreado como CVE-2023-21674, el día cero es una falla de elevación de privilegios (EoP) en Windows Advanced Local Procedure Call (ALPC), que, si se explota con éxito, permitiría a un atacante obtener privilegios del sistema.
Afecta a todas las versiones del sistema operativo Windows desde Windows 8.1 y Windows Server 2021 R2 en adelante, y tiene una puntuación CVSS de 8.8. Se considera relativamente trivial de explotar y, como tal, es probable que se coopte rápidamente en los libros de jugadas de los actores de amenazas, probablemente como parte de una campaña de entrega de ransomware.
Satnam Narang, ingeniero senior de investigación del personal de Tenable, dijo: “La llamada de procedimiento local avanzado de Windows… facilita la comunicación entre procesos para los componentes del sistema operativo Windows.
“Aunque los detalles sobre la falla no estaban disponibles en el momento en que Microsoft publicó su aviso el martes de parches, parece que esto probablemente se encadenó junto con una vulnerabilidad en un navegador basado en Chromium como Google Chrome o Microsoft Edge para salir de un sandbox del navegador y obtenga acceso completo al sistema”, agregó.
Narang dijo que tales vulnerabilidades generalmente fueron adoptadas por grupos de amenazas persistentes avanzadas (APT) en ataques dirigidos.
Sin embargo, dijo, a pesar de la gravedad potencial de CVE-2023-21674, la probabilidad de una explotación generalizada de la probable cadena de explotación probablemente sería limitada gracias a la funcionalidad de actualización automática de los navegadores.
También en el expediente de atención este mes está CVE-2023-21549, otra vulnerabilidad EoP en Windows Workstation Service, que también tiene una puntuación CVSS de 8,8, pero aún no se sabe si ha sido explotada, aunque se divulga públicamente.
“Para aprovechar la vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente creado que ejecuta un RPC [Remote Procedure Call] a un host RPC”, dijo Chris Goettl, vicepresidente de productos de seguridad de Ivanti.
“Esto podría resultar en una elevación de privilegios en el servidor. La vulnerabilidad se puede explotar a través de la red sin necesidad de interacción del usuario. La divulgación pública significa que se ha divulgado públicamente suficiente información sobre esta vulnerabilidad, lo que les da a los atacantes una ventaja en la ingeniería inversa de la vulnerabilidad para intentar explotarla”.
Las otras vulnerabilidades críticas de este mes incluyen siete vulnerabilidades de ejecución remota de código (RCE) en el Protocolo de túnel de sockets seguros (SSTP) de Windows y el Protocolo de túnel de capa 2 de Windows (L2TP), tres vulnerabilidades de EoP, todas en Servicios criptográficos de Microsoft y una vulnerabilidad de seguridad solitaria. Vulnerabilidad de omisión de características en Microsoft SharePoint Server.
El primer martes de parches de 2023 también se destaca por marcar el final de una era, con Windows 7 Professional y Enterprise recibiendo sus últimas actualizaciones a través del programa Extended Security Update, Windows 8.1 llegando al final del soporte y no más actualizaciones para Las versiones de Windows 7 u 8 de las aplicaciones de Microsoft 365 en el futuro tampoco.
“Esto ahora consolida firmemente la idea de usar Windows 7 u 8.1 en entornos de producción como un riesgo inaceptable en cualquier entorno que siga las mejores prácticas básicas de seguridad cibernética”, dijo Lewis Pope, jefe nerd de N-able.
“Según Microsoft, la acción adecuada es actualizar los sistemas con hardware compatible a Windows 10 o desmantelar esos sistemas en favor de sistemas operativos modernos y compatibles”, dijo. “Si bien siempre hay advertencias y casos de uso especiales, los presupuestos para 2023 deben incluir la financiación adecuada para migrar todas las operaciones desde cualquier sistema operativo no compatible. Además, esa financiación debe incluirse en el futuro y considerarse como parte del costo de hacer negocios”.