Microsoft ha emitido parches para dos vulnerabilidades de día cero entre un total de poco más de 80 errores abordados en su actualización mensual del martes de parches.
La cantidad de problemas, que incluye cuatro CVE asignados por Github, está aproximadamente a la par con los volúmenes de divulgación observados en los primeros dos meses del año, con otra fuerte inclinación hacia los problemas de ejecución remota de código (RCE).
“Microsoft ha resuelto 80 CVE nuevos este mes y ha ampliado cuatro CVE lanzados anteriormente para incluir versiones adicionales de Windows”, dijo Chris Goettl, vicepresidente de productos de seguridad de Ivanti. “Esto eleva el número total de CVE abordados este mes a 84. Hay dos exploits de día cero confirmados resueltos en las actualizaciones de este mes que afectan a Microsoft Office y Windows Smart Screen. Ambos exploits están dirigidos al usuario. Hay un total de nueve CVE calificados como críticos este mes. Ocho de los nueve CVE críticos están en la actualización del sistema operativo Windows de este mes”.
Rastreada como CVE-2023-23397, la vulnerabilidad de Outlook está siendo explotada pero no se ha hecho pública hasta ahora. Tiene una puntuación CVSS de 9,1 y es de gravedad importante. Es una vulnerabilidad de elevación de privilegios (EoP) que puede explotarse enviando un correo electrónico a un objetivo potencial.
Se activa en el lado del servidor de correo electrónico, lo que significa que puede explotarse antes de que el correo electrónico se abra y se vea. Explotado con éxito, permite que un actor no autenticado acceda al hash Net-NTLMv2 de la víctima y lo use para autenticarse como víctima, sin pasar por las medidas de autenticación.
Kev Breen, director de investigación de amenazas cibernéticas de Immersive Labs, dijo que CVE-2023-23397 era particularmente peligroso y, además, señaló que su estado asignado como un error de EoP no reflejaba esto con total precisión.
“Conocido como un ataque de retransmisión NTLM, permite que un atacante obtenga el hash NTLM de alguien y lo use en un ataque comúnmente conocido como Pass the Hash”, dijo. “La vulnerabilidad permite efectivamente que el atacante se autentique como una persona de confianza sin tener que conocer la contraseña de la persona. Esto está a la par con un atacante que tiene una contraseña válida con acceso a los sistemas de una organización”.
Su descubrimiento se atribuye a los equipos de Respuesta a Incidentes e Inteligencia de Amenazas de Microsoft que trabajan junto con el CERT nacional de Ucrania, lo que implica que está siendo explotado por actores estatales rusos en su campaña de guerra cibernética en curso.
El ingeniero de software líder de Rapid7, Adam Barnett, dijo: “Microsoft ha detectado una explotación en la naturaleza por parte de un actor de amenazas con sede en Rusia que apunta a objetivos gubernamentales, militares y de infraestructura crítica en Europa. Dado el vector de ataque de la red, la ubicuidad de los recursos compartidos de SMB y la falta de interacción del usuario requerida, un atacante con un punto de apoyo adecuado en una red bien puede considerar esta vulnerabilidad como un candidato principal para el movimiento lateral”.
El segundo día cero se rastrea como CVE-2023-24880. Es público y se sabe que ha sido explotado en la naturaleza. Una característica de seguridad que evita la vulnerabilidad en el servicio antiphishing y antimalware de Windows SmartScreen, tiene una puntuación CVSS de 5,4 y es de gravedad moderada.
Si no se soluciona, CVE-2023-24880 permite a un atacante crear un archivo que elude la defensa Mark of the Web, lo que facilita mucho la propagación de documentos contaminados y malware que, de lo contrario, SmartScreen podría detectar.
Breen dijo que a pesar de que tiene una calificación menos severa, los defensores aún deberían priorizar arreglarlo. “Las notas de Microsoft dicen que un atacante puede crear un archivo malicioso que desactivaría algunas características de seguridad como la ‘vista protegida’ en Microsoft Office”, dijo.
“El malware basado en macros todavía se ve con frecuencia como parte de los compromisos iniciales, y los usuarios se han acostumbrado a estas indicaciones que los protegen de archivos peligrosos”, agregó Breen. “La vista y la marca protegidas de la web deben ser parte de su estrategia de defensa en profundidad y no una sola capa de protección”.
Su descubrimiento se atribuye a Benoit Sevens y Vlad Stolyarov, del Grupo de Análisis de Amenazas de Google, y a Bill Demirkapi, de Microsoft.
Vulnerabilidades críticas
Las vulnerabilidades críticas enumeradas en la actualización de marzo son las siguientes:
De estos, Gal Sadeh, jefe de investigación de datos y seguridad en Silverfort, dijo que CVE-2023-21708 y CVE-2023-23415 eran particularmente notables.
“Una vulnerabilidad RCE crítica en el tiempo de ejecución de llamadas a procedimientos remotos, CVE-2023-21708, debería ser una prioridad para los equipos de seguridad, ya que permite a los atacantes no autenticados ejecutar comandos remotos en una máquina de destino”, dijo. “Los actores de amenazas podrían usar esto para atacar los controladores de dominio, que están abiertos de forma predeterminada. Para mitigar, recomendamos que los controladores de dominio solo permitan RPC desde redes autorizadas y que se limite el tráfico de RPC a puntos finales y servidores innecesarios.
“Otra vulnerabilidad crítica, CVE-2023-23415, plantea un grave riesgo, ya que permite a los atacantes explotar una falla en el Protocolo de mensajes de control de Internet, que a menudo no está restringido por los firewalls, para obtener la ejecución remota de código en servidores expuestos utilizando un paquete malicioso. Requerir la orientación de un socket sin procesar: cualquier organización que use dicha infraestructura debe parchear o bloquear los paquetes ICMP en el firewall”, dijo Sadeh.