Microsoft ha lanzado su actualización mensual Patch Tuesday, pero a diferencia de la forma reciente, no parece haber descubierto ningún nuevo día cero, lo que sin duda brinda alivio a los equipos de seguridad preocupados por otros asuntos.
Sin embargo, esto no quiere decir que no haya problemas dignos de atención, ya que la actualización de junio contiene correcciones para un total de 85 vulnerabilidades, de las cuales varias son actualizaciones de rondas anteriores, lo que parece ser una tendencia notable en la última caída, como explicó el vicepresidente de productos de seguridad de Ivanti, Chris Goettl.
De particular interés para los equipos de seguridad este mes, dijo Goettl, es una serie continua de actualizaciones de seguridad relacionadas con Windows Kerberos y Netlogon, que se lanzarán en un proceso por etapas.
La actualización de Windows Kerberos se relaciona con una vulnerabilidad de omisión de seguridad, CVE-2022-37967, que se reveló en noviembre de 2022. Desde entonces, ha habido dos actualizaciones, la primera para agregar firmas de certificados de atributos privilegiados (PAC) al búfer Kerberos PAC, y el segundo para poner todos los dispositivos en modo Auditoría de forma predeterminada pero aún permitiendo la autenticación. La última actualización elimina la capacidad de deshabilitar la adición de firmas PAC y se esperan más cambios de política en julio y octubre.
La actualización de Netlogon se relaciona con CVE-2022-38023, una falla de elevación de privilegios (EoP) también de noviembre de 2022. El primer parche para esta vulnerabilidad implementó un modo de compatibilidad predeterminado que eliminó la capacidad de deshabilitar el sellado de llamada a procedimiento remoto (RPC). Los últimos movimientos para hacer cumplir esto serán predeterminados a menos que un administrador lo haya configurado explícitamente de otra manera. Otro cambio de política está previsto para julio.
“Microsoft está avanzando en las fases de los cambios en Kerberos y Netlogon que requerirán investigación y pruebas adicionales para garantizar que se eviten impactos operativos a corto y largo plazo”, dijo Goettl.
Goettl también marcó cambios en la documentación de otras dos vulnerabilidades. El primero, CVE-2023-24880, una falla de omisión de seguridad en Windows SmartScreen que data de marzo de 2023, confirma la explotación y actualiza su puntaje CVSS, que debe tenerse en cuenta en la priorización de los defensores.
El segundo cambio, que es CVE-2021-34527, simplemente actualiza la lista de ediciones vulnerables de Windows, pero será de interés para algunos. “CVE-2021-34527 es una vulnerabilidad en Windows Print Spooler que podría permitir la ejecución remota de código. Sí, esto es una explosión del pasado conocida como PrintNightmare”, dijo Goettl.
Vulnerabilidades de intercambio: siempre una opción popular
En otros lugares, dos vulnerabilidades RCE en Microsoft Exchange Server, CVE-2023-32031 y CVE-2023-28310, también merecen una atención especial.
La primera de estas vulnerabilidades permite que un actor malintencionado active código en el contexto de la cuenta de Exchange Server a través de una llamada de red. El segundo les permite ejecutar código a través de PowerShell. En ambos casos, la complejidad del ataque se considera baja y no se necesita la interacción del usuario.
Aunque ninguna de estas fallas se ha divulgado públicamente o se sabe que se está explotando en la naturaleza, las fallas de Exchange Server atraen a un tipo particularmente “sofisticado” de delincuentes cibernéticos, por lo que no se debe dejar que se queden demasiado tiempo.
“Este par de vulnerabilidades… son sobresalientes, ya que reflejan de cerca las vulnerabilidades identificadas como parte de los exploits de ProxyNotShell”, dijo Kev Breen, director de investigación de amenazas cibernéticas de Immersive Labs.
Breen dijo que estas vulnerabilidades probablemente se explotarán a través de ataques de ingeniería social con phishing para obtener acceso a un host.
“Si un atacante pudiera obtener este nivel de acceso a un Exchange Server [they] podría hacer mucho daño a una organización”, dijo.
“Con la capacidad de obtener acceso para leer todos los correos electrónicos que se han enviado y recibido, o incluso para hacerse pasar por cualquier usuario, esto podría ser ventajoso para los delincuentes motivados financieramente donde los ataques de compromiso de correo electrónico comercial (BEC) ya no provienen de cuentas falsificadas sino de el titular legítimo del correo electrónico.”
Los errores críticos aún podrían picar
La actualización del martes de parches de junio contiene un total de seis vulnerabilidades críticas, que están en orden numérico CVE:
- CVE-2023-24897, una vulnerabilidad de ejecución remota de código (RCE) en .NET, .NET Framework y Visual Studio;
- CVE-2023-29357, una vulnerabilidad EoP en Microsoft SharePoint Server;
- CVE-2023-29363, una vulnerabilidad RCE en Windows Pragmatic General Multicast (PGM);
- CVE-2023-32013, una vulnerabilidad de denegación de servicio (DoS) en Windows Hyper-V;
- CVE-2023-32014, una segunda vulnerabilidad RCE en Windows PGM;
- CVE-2023-32015, una tercera vulnerabilidad RCE en Windows PGM.
Adam Barnett, ingeniero de software líder de Rapid7, señaló que este es el tercer mes seguido en el que Microsoft soluciona las vulnerabilidades de RCE en Windows PGM. Si bien Microsoft aún no ha detectado la explotación de la divulgación para ninguno de estos, es probable que sus altos puntajes base de CVSS atraigan el tipo de atención equivocado en poco tiempo.
“Los tres RCE críticos de PGM requieren que un atacante envíe un archivo especialmente diseñado a través de la red con la esperanza de ejecutar un código malicioso en el activo de destino”, dijo Barnett.
“Los defensores que navegaron con éxito el lote de vulnerabilidades de PGM del mes pasado encontrarán que tanto el perfil de riesgo como la guía de mitigación/remediación son muy similares; CVE-2023-29363 fue informado a Microsoft por el mismo investigador que el CVE-2023-28250 del mes pasado”, dijo.
“Al igual que con vulnerabilidades similares anteriores, solo los sistemas donde está habilitado el Servicio de cola de mensajes de Windows (MSMQ) son explotables, y no está habilitado de manera predeterminada”.
Sin embargo, como los investigadores de Rapid7 han señalado anteriormente, una buena cantidad de aplicaciones, Microsoft Exchange entre ellas, introducen MSMQ durante su rutina de instalación. Con varios investigadores prolíficos activos en esta área, dijo Barnett, es casi seguro que habrá más vulnerabilidades de PGM en el futuro.
Mientras tanto, la falla de EoP en SharePoint, que les da a los atacantes un corto tiempo para obtener derechos de administrador en el host de SharePoint siempre que hayan falsificado los tokens correctos, también debe abordarse rápidamente, dijo Barnett, particularmente si ejecutan SharePoint 2016.
“En el momento de escribir este artículo, las preguntas frecuentes proporcionadas con el aviso de Microsoft sugieren que tanto SharePoint Enterprise Server 2016 como SharePoint Server 2019 son vulnerables, pero ni el aviso ni el historial de versiones de SharePoint 2016 enumeran parches relacionados para SharePoint 2016. Los defensores responsables de SharePoint 2016 sin duda deseo hacer un seguimiento de este como un asunto de urgencia”, dijo.
Finalmente, la vulnerabilidad RCE en .NET, etc., que requiere que un atacante convenza a la víctima para que abra un archivo malicioso especialmente diseñado, generalmente desde un sitio web, también debería llamar la atención.
“Aunque Microsoft no tiene conocimiento de divulgación pública o explotación en la naturaleza, y considera que la explotación es menos probable, la larga lista de parches, que se remonta a .NET Framework 3.5 en Windows 10 1607, significa que esta vulnerabilidad ha estado presente durante años. ”, dijo Barnett.