Microsoft ha publicado correcciones para un total de 75 vulnerabilidades y exposiciones comunes (CVE) recién descubiertas en su actualización del martes de parches de febrero de 2023, incluidas tres vulnerabilidades de día cero que, si bien no se han hecho públicas anteriormente, deben priorizarse para la aplicación de parches.
Los tres días cero han sido designados de gravedad importante y tienen puntajes CVS de 7.3, 7.8 y 7.8 respectivamente. Todos ellos son conocidos por ser explotados en la naturaleza.
Se rastrean de la siguiente manera:
- CVE-2023-21715, una característica de seguridad que elude la vulnerabilidad en Microsoft Publisher que podría permitir que un atacante eluda las defensas de macros de Office utilizando un documento especialmente diseñado para ejecutar código que, de otro modo, estaría bloqueado. Sin embargo, esto solo puede hacerlo un usuario local autenticado, y solo afecta a las instalaciones de Publisher que forman parte del paquete más amplio de Aplicaciones de Microsoft 365 para empresas.
- CVE-2023-21823, una vulnerabilidad conjunta de elevación de privilegios (EoP) y ejecución remota de código (RCE) en el componente de gráficos de Windows, que permite a un atacante obtener privilegios a nivel del sistema. Afecta a Windows 10 y Server 2008 y ediciones posteriores, así como a Microsoft Office para iOS, Android y Universal; en estos tres últimos casos, puede provocar RCE, de ahí su naturaleza dual.
- Y CVE-2023-23376, otra vulnerabilidad EoP en el controlador del sistema de archivos de registro comunes de Windows que nuevamente permite la escalada de privilegios locales al nivel del sistema. No parece haber ningún código de explotación maduro que Microsoft conozca, sin embargo, garantiza una solución rápida porque afecta a la gran mayoría de los hosts de Windows.
Chris Goettl, vicepresidente de productos de seguridad de Ivanti, dijo que el hecho de que todas las vulnerabilidades explotadas fueran calificadas como de menor gravedad que muchos de los otros errores eliminados debería ser una lección valiosa para los equipos de seguridad a medida que apuntalan sus defensas. .
“Se insta a las organizaciones a ampliar su priorización más allá de la gravedad del proveedor y la puntuación CVSS”, dijo Goettl, “ya que muchas vulnerabilidades explotadas serán menores que Critical o CVSS 8.0. Esto enfatiza la necesidad urgente de utilizar métodos de priorización basados en riesgos en su programa de gestión de vulnerabilidades”.
Errores críticos
La caída completa también aborda nueve CVE críticos, todos conducen a la ejecución remota de código, y sus puntajes CVSS varían de 7.8 a 9.8. Estos son:
Al ejecutar la regla sobre los errores críticos enumerados, Dustin Childs del programa Zero Day Initiative de Trend Micro, dijo que las vulnerabilidades de PEAP pueden resultar menos impactantes ya que el protocolo se usa cada vez menos, pero lo que más preocupa es el problema del servicio de descubrimiento iSCSI. .
“Los centros de datos con redes de área de almacenamiento (SAN) definitivamente deberían consultar con sus proveedores para ver si su SAN se ve afectada por la vulnerabilidad RCE”, escribió Childs.
Dijo que la vulnerabilidad del controlador SQL ODBC, que evaluó puede tener una cadena de explotación “algo improbable” asociada, pero que aún requiere atención para garantizar que los equipos de seguridad obtengan la solución correcta para la edición correcta de SQL Server. Finalmente, dijo, los tres parches que cubrían .NET y Visual Studio parecían ser simples errores de “abrir y poseer”, pero los detalles son escasos en el terreno.
Childs también señaló que la actualización completa de febrero es un poco inusual, ya que la mitad de los errores corregidos son vulnerabilidades RCE.
Adam Barnett, ingeniero de software líder en Rapid7, señaló que luego del final del soporte para Windows 8.1 (la actualización de enero de 2023 fue la última en cubrirlo), los equipos de seguridad que aún lo ejecutan deberían estar en guardia para seguir adelante.
“Este es el primer martes de parches después del final de las actualizaciones de seguridad extendidas (ESU) para Windows 8.1. Los administradores responsables de las instancias de Windows Server 2008 deben tener en cuenta que ESU para Windows Server 2008 ahora solo está disponible para instancias alojadas en Azure o instancias locales alojadas a través de Azure Stack”, dijo.
“Las instancias de Windows Server 2008 alojadas en un contexto que no sea de Azure ya no recibirán actualizaciones de seguridad, por lo que seguirán siendo vulnerables para siempre a cualquier vulnerabilidad nueva, incluidos los dos días cero mencionados anteriormente”.