Microsoft repara 5 cero

Jul 14, 2023

Microsoft descargó una de sus actualizaciones de seguridad más importantes de la historia reciente para el martes de parches de julio, abordando 130 nuevas vulnerabilidades, incluidas cinco de día cero.

Este mes, los administradores tendrán que lidiar con dos avisos, un día cero sin parche, el siguiente paso para actualizar dos protocolos de autenticación de claves y nueve CVE reeditados. De las nuevas vulnerabilidades, nueve fueron calificadas como críticas. La gran cantidad de vulnerabilidades que abordar, combinada con la complejidad de algunas de las mitigaciones, pondrá a prueba a muchos departamentos de TI este mes.

"Tengo la sensación de que julio va a tener muchos daños colaterales, mucho impacto operativo y muchas actualizaciones diferidas por un período de tiempo", dijo Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti. "Las empresas tendrán que asegurarse de no esperar demasiado para aplicar el parche, porque hay mucha exposición".

Microsoft actualizó una solución para un día cero que abordó en mayo para una vulnerabilidad de omisión de la característica de seguridad de arranque seguro (CVE-2023-24932) considerada importante para Windows Server y sistemas de escritorio.

La revisión de julio facilita la implementación de archivos para revocar los administradores de arranque del sistema y auditar esta acción a través del registro de eventos. Microsoft compartió instrucciones para esta implementación en su artículo KB5025885 e instó a los clientes a seguir adelante para fortalecer la seguridad en sus sistemas.

"Esta vulnerabilidad ha confirmado exploits en la naturaleza y una puntuación base CVSS de 6,7", dijo Goettl. "Sólo se considera importante, pero se recomienda encarecidamente que las organizaciones lo traten como algo crítico".

Lo nuevo del martes de parches de julio es un día cero de Microsoft Outlook (CVE-2023-35311), que es una característica de seguridad que evita la vulnerabilidad clasificada como importante con una calificación CVSS de 8,8. Un atacante podría apuntar a un usuario con una URL especialmente diseñada utilizando el panel de vista previa de Outlook como vector de ataque, pero el usuario tendría que hacer clic en el enlace para que el atacante aproveche la vulnerabilidad.

Una ejecución remota de código HTML de Office y Windows de día cero (CVE-2023-36884) se considera importante para las aplicaciones de Windows Server, de escritorio y de Microsoft Office. Un usuario tendría que abrir un documento de Microsoft Office especialmente diseñado por un atacante para activar el exploit, lo que permitiría al actor de la amenaza realizar una ejecución remota de código en el contexto de la víctima.

En el momento de la publicación de este artículo, Microsoft no tenía un parche, pero dijo que los clientes que usan Microsoft Defender para Office están protegidos. La compañía dijo que varios de sus otros productos de seguridad, incluido Microsoft Defender Antivirus, pueden usar una regla de reducción de la superficie de ataque para bloquear esta amenaza. Para los administradores que no utilizan esos productos de seguridad, Microsoft dijo que pueden implementar un cambio de registro en sistemas vulnerables utilizando la Política de grupo o el Administrador de configuración.

Goettl dijo que las organizaciones que siguen el principio de privilegio mínimo harán que sea más difícil para un atacante emplear esta vulnerabilidad, ya que necesitarían encontrar otra forma de elevar su nivel de privilegio más allá de lo que tendría un usuario final típico.

Un día cero de elevación de privilegios del Servicio de informe de errores de Windows (CVE-2023-36874) clasificado como importante afecta a los sistemas de servidor y de escritorio de Windows. El atacante necesita acceso local a la máquina de destino con permisos para crear carpetas y seguimientos de rendimiento para explotar la vulnerabilidad y obtener privilegios de administrador.

El próximo día cero es una vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows (CVE-2023-32049) considerada importante para Windows Server y sistemas de escritorio. Un usuario tendría que hacer clic en una URL especialmente diseñada para activar el exploit. Goettl dijo que esta vulnerabilidad normalmente se usaría como parte de una cadena de ataque para obtener mayor acceso a toda la infraestructura de la organización.

La última nueva vulnerabilidad de día cero es una vulnerabilidad de elevación de privilegios de la plataforma MSHTML de Windows (CVE-2023-32046) clasificada como importante que afecta a Windows Server y a los sistemas de escritorio. El atacante puede atacar a un usuario a través de un archivo especialmente creado enviado en un correo electrónico o alojado en un sitio web; Si cualquiera de los métodos tiene éxito, el atacante puede obtener los derechos del usuario.

Las organizaciones con sistemas Windows Server más antiguos deberán prestar atención a los parches para esta vulnerabilidad. Si bien Internet Explorer 11 no es compatible, los sistemas operativos de servidor más antiguos comparten parte de su código base. Un departamento de TI que simplemente implemente actualizaciones de seguridad para esos sistemas operativos también tendrá que incluir la actualización acumulativa de Internet Explorer de este mes para cerrar esta falla.

Microsoft emitió un aviso (ADV230001) que designó como "explotado" pero, en el momento de la publicación, no había asignado un CVE. La compañía dijo que encontró que los controladores certificados por su Programa de Desarrolladores de Hardware de Windows se habían utilizado en ataques para obtener privilegios de administrador y que había tomado medidas para evitar daños mayores.

"Microsoft ha lanzado actualizaciones de seguridad de Windows... que desconfían de los controladores y de los certificados de firma de controladores para los archivos afectados y ha suspendido las cuentas de vendedor de los socios", escribió la compañía. "Además, Microsoft ha implementado detecciones de bloqueo (Microsoft Defender 1.391.3822.0 y posteriores) para ayudar a proteger a los clientes de controladores firmados legítimamente que se han utilizado maliciosamente en actividades posteriores a la explotación".

La compañía suspendió las cuentas de desarrollador involucradas en el fraude de firmas digitales y tomó otras medidas para detener los ataques que podrían ocurrir en los procesos de arranque y kernel de Windows.

El segundo aviso, ADV230002, se refiere a protecciones adicionales proporcionadas por Microsoft para complementar una solución que Trend Micro lanzó para corregir una vulnerabilidad de omisión de una característica de seguridad en uno de sus productos.

El martes de parches de julio también marcó el comienzo de los próximos pasos para mejorar la seguridad en dos componentes importantes de Windows utilizados para autenticar máquinas y usuarios en el dominio. Microsoft emitió parches en noviembre de 2022 para abordar una vulnerabilidad de elevación de privilegios de Netlogon RPC (CVE-2022-38023) y una vulnerabilidad de elevación de privilegios de Kerberos (CVE-2022-37967). Estas correcciones fueron el comienzo de una implementación gradual para fortalecer estos protocolos y permitir a los administradores probar cualquier impacto en su infraestructura antes de la llegada de configuraciones más estrictas.

El protocolo de autenticación de red Kerberos utiliza tickets para autenticar usuarios y computadoras en el dominio. Netlogon crea un canal de comunicación seguro para los controladores de dominio, que manejan la verificación de las identidades de la máquina y del usuario.

El martes de parche de julio introdujo la "fase de aplicación", que es el paso final en la corrección de la vulnerabilidad Netlogon. Después de aplicar la actualización de seguridad de este mes, el servicio de llamada a procedimiento remoto en los controladores de dominio de Windows bloqueará a los clientes vulnerables que utilicen la firma RPC en lugar del sellado RPC. Los administradores ya no pueden ajustar la subclave de registro RequireSeal para activar el "modo de compatibilidad" si se producen bloqueos.

Con la firma RPC, el remitente coloca una firma digital en los paquetes enviados a través de la red que el receptor utiliza para autenticarse y detectar cualquier manipulación durante la transmisión. El sellado RPC agrega un nivel adicional de seguridad al firmar y cifrar los datos enviados a través de la red.

Las actualizaciones del martes de parches de julio iniciarán la fase de "aplicación inicial" en la actualización de Kerberos. Una vez que un administrador aplica los parches, los controladores de dominio agregarán firmas al búfer del Certificado de atributo de privilegio (PAC) de Kerberos que no se puede deshabilitar. Los administradores pueden usar un modo de auditoría para permitir conexiones a pesar de que falten firmas o sean defectuosas, pero Microsoft planea implementar una "fase de aplicación total" el 10 de octubre que elimine esta capacidad.

"El hardware y el software de terceros dentro de un entorno corren el riesgo de fallar debido a estos cambios. Las organizaciones deben prestar atención al registro de auditoría y asegurarse de hacer un seguimiento con sus proveedores", afirmó Goettl.

Un actor con sede en Rusia aprovechó el día cero de Office sin parches