Vulnerabilidad de arranque seguro causa dolor de cabeza el martes de parches para los administradores

En un martes de parches significativamente más ligero que en los últimos tiempos, una vulnerabilidad de día cero divulgada públicamente y explotada activamente en la función de seguridad de arranque seguro de Windows parece estar destinada a causar un dolor de cabeza continuo para los administradores y los equipos de seguridad.

Rastreado como CVE-2023-24932, y uno de los dos días cero explotados en el lanzamiento del martes de parches de mayo de Microsoft, la explotación exitosa de esta vulnerabilidad de omisión de características de seguridad, acreditada a Martin Smolár de ESET y Tomer Sne-or de SentinelOne, se considera particularmente peligrosa.

Esto se debe a que, si se usa junto con un bootkit conocido como BlackLotus para ejecutar el código firmado por el actor malintencionado en el nivel de la interfaz de firmware extensible unificada (UEFI), se ejecutará antes que el sistema operativo (SO), por lo que el atacante puede desactivar la seguridad. protecciones para hacer aún más daño.

“El CVE está calificado como ‘importante’ por los algoritmos de evaluación de Microsoft, pero con las vulnerabilidades confirmadas puede ignorar esa calificación de gravedad y responder a los indicadores de riesgo del mundo real”, explicó Chris Goettl, vicepresidente de administración de productos de seguridad de Ivanti.

“La vulnerabilidad requiere que el atacante tenga acceso físico o permisos administrativos en el sistema de destino, con los que puede instalar una política de arranque afectada que podrá eludir el Arranque seguro para comprometer aún más el sistema. La vulnerabilidad afecta a todas las versiones compatibles actualmente del sistema operativo Windows”, dijo.

Microsoft dijo que si bien la solución para CVE-2023-24932 se proporciona en la versión actual, está deshabilitada de forma predeterminada y aún no brindará protección completa, lo que significa que los clientes deberán seguir una secuencia manual para actualizar los dispositivos de arranque y aplicar revocaciones antes de habilitando la actualización.

Más contenido para leer:  Más mujeres en tecnología cerrarán la brecha de habilidades y reforzarán el crecimiento

Con este fin, está adoptando un enfoque de tres fases, de las cuales la versión inicial es la primera. El lanzamiento del martes de parches del 11 de julio verá una segunda versión que contiene opciones de actualización adicionales para simplificar la implementación. Finalmente, en algún momento entre enero y marzo de 2024, una versión final habilitará la corrección de forma predeterminada y aplicará las revocaciones de Boot Manager en todos los dispositivos de Windows.

Según Microsoft, esto es necesario porque el Arranque seguro controla con mucha precisión los medios de arranque que pueden cargarse cuando el sistema operativo del sistema se inicia por primera vez, por lo que si la actualización se aplica incorrectamente, puede causar más interrupciones e incluso impedir que el sistema se inicie.

Hablando con TechTarget en los EE. UU., Goettl dijo que este podría ser un proceso doloroso, y que algunos enfrentan la posibilidad de quedar “atascados durante mucho tiempo”.

Días cero

La otra vulnerabilidad de día cero explotada resuelta este mes es CVE-2023-29336, una vulnerabilidad de elevación de privilegios (EoP) en Win32k, acreditada a Jan Vojtěšek, Milánek y Luigino Camastra de Avast, pero también en lo alto del expediente será CVE- 2023-29325, una vulnerabilidad de ejecución remota de código (RCE) críticamente calificada en Windows OLE que se divulga pero aún no se explota, acreditada a Will Dormann de Vul Labs.

CVE-2023-29936 no requiere la interacción del usuario y puede usarse para lograr privilegios a nivel del sistema si se aprovecha con éxito. Afecta a Windows 10 y versiones posteriores, y Windows Server 2008 a 2016.

“Este es el quinto mes consecutivo en que se explotó una vulnerabilidad de elevación de privilegios en la naturaleza como un día cero”, dijo Satnam Narang, ingeniero senior de investigación del personal de Tenable. “Anticipamos que los detalles sobre su explotación serán hechos públicos pronto por los investigadores que lo descubrieron.

Más contenido para leer:  La vigilancia digital de los trabajadores remotos puede aumentar el riesgo empresarial

“Sin embargo, no está claro si esta falla es una omisión de parche. Históricamente, hemos visto tres ejemplos separados en los que las vulnerabilidades Win32k EoP se explotaron como días cero”, explicó. “En enero de 2022, Microsoft parchó CVE-2022-21882, que fue explotado en la naturaleza y, según se informa, es un derivación de parche para CVE-2021-1732, que fue parcheado en febrero de 2021 y también explotado en la naturaleza. En octubre de 2021, Microsoft parcheó otro Win32k EoP, identificado como CVE-2021-40449, que estaba vinculado a un troyano de acceso remoto conocido como MysterySnail, que era una omisión de parche para CVE-2016-3309.

“Si bien es relativamente raro, es interesante observar múltiples fallas de Win32k EoP explotadas como días cero que también fueron omisiones de parches”, observó Narang.

CVE-2023-29325, por su parte, es una vulnerabilidad crítica para la que se dispone de una prueba de concepto. Tiene un vector de ataque de red y una alta complejidad de ataque, y aunque no se necesitan privilegios especiales para explotarlo, es necesario engañar a la víctima para que abra un correo electrónico malicioso. Afecta a Windows 10 y Windows Server 2008 y versiones posteriores.

“En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un mensaje de correo electrónico especialmente diseñado a la víctima”, dijo el cofundador y vicepresidente de investigación de amenazas y vulnerabilidades de Action1, Mike Walters.

“La víctima podría abrir el correo electrónico con una versión afectada de Microsoft Outlook o previsualizarlo en la aplicación de Outlook, lo que le permitiría al atacante ejecutar código remoto en la computadora de la víctima.

Más contenido para leer:  Number of women in tech dipped last quarter, ONS data shows

“Para mitigar el riesgo, Microsoft recomienda emplear ciertas medidas. En Microsoft Outlook, se debe tener precaución al manejar archivos RTF de fuentes desconocidas o que no son de confianza. Otro paso de precaución es leer los mensajes de correo electrónico en formato de texto sin formato, que se puede configurar en Outlook o mediante la directiva de grupo. Es importante tener en cuenta que la adopción del formato de texto sin formato puede resultar en la pérdida de elementos visuales como imágenes, fuentes especiales y animaciones”, dijo Walters.

Las vulnerabilidades críticas restantes en la caída de mayo comprenden cinco vulnerabilidades RCE y una vulnerabilidad EoP.

Las vulnerabilidades RCE son, en orden numérico CVE:

  • CVE-2023-24903 en el protocolo de túnel de sockets seguros (SSTP) de Windows.
  • CVE-2023-24941 en el sistema de archivos de red de Windows.
  • CVE-2023-24943 en Windows Pragmatic General Multicast (PGM).
  • CVE-2023-24955 en Microsoft SharePoint Server.
  • Y CVE 2023-28283 en el Protocolo ligero de acceso a directorios (LDAP) de Windows.

La vulnerabilidad EoP crítica es CVE-2023-29324 en la plataforma MHSTML de Windows.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales