Parche ahora para solucionar el problema crítico de Windows Zero

Jun 21, 2023

Por Greg Lambert, colaborador de Computerworld |

Greg Lambert evalúa los riesgos para las aplicaciones y entornos existentes en el ciclo Patch Tuesday de cada mes.

El primer martes de parches del año de Microsoft aborda 98 vulnerabilidades de seguridad, 10 de ellas clasificadas como críticas para Windows. Una vulnerabilidad (CVE-2023-21674) en una sección central del código de Windows es un día cero que requiere atención inmediata. Y Adobe regresó con una actualización crítica, junto con algunos parches de bajo perfil para el navegador Microsoft Edge.

Hemos agregado las actualizaciones de Windows y Adobe a nuestra lista "Parchear ahora", reconociendo que las implementaciones de parches de este mes requerirán importantes esfuerzos de ingeniería y pruebas. El equipo de Application Readiness ha proporcionado una infografía útil que describe los riesgos asociados con cada una de las actualizaciones para este ciclo de actualización de enero.

Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas que se incluyen en este ciclo de actualización.

Todavía hay bastantes problemas conocidos pendientes para Windows 7, Windows 8.x y Windows Server 2008, pero al igual que con estos sistemas operativos que envejecen rápidamente (y no son muy seguros), es hora de seguir adelante.

Microsoft no ha publicado ninguna revisión importante este mes. Hubo varias actualizaciones de parches anteriores, pero sólo con fines de documentación. No se requieren otras acciones aquí.

Microsoft no ha publicado ninguna mitigación o solución alternativa específica del ciclo de lanzamiento del martes de parches de enero de este mes.

Cada mes, el equipo de preparación analiza las últimas actualizaciones del martes de parches de Microsoft y proporciona orientación de prueba detallada y práctica. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches de Microsoft y su impacto potencial en las plataformas Windows y las instalaciones de aplicaciones.

Dada la gran cantidad de cambios incluidos en este ciclo de parches de enero, he dividido los escenarios de prueba en grupos de alto riesgo y de riesgo estándar:

Alto riesgo : Esta actualización de enero de Microsoft ofrece una cantidad significativa de cambios de alto riesgo en el núcleo del sistema y los subsistemas de impresión dentro de Windows. Desafortunadamente, estos cambios incluyen archivos críticos del sistema como win32base.sys, sqlsrv32.dll y win32k.sys, ampliando aún más el perfil de prueba para este ciclo de parches.

Como todos los cambios de alto riesgo afectan al subsistema de impresión de Microsoft Windows (aunque no hemos visto ningún cambio de funcionalidad publicado), recomendamos encarecidamente las siguientes pruebas centradas en la impresión:

Todos estos escenarios requerirán pruebas importantes a nivel de aplicación antes de una implementación general de la actualización de este mes. Además de estos requisitos de prueba específicos, sugerimos una prueba general de las siguientes características de impresión:

De manera más general, dada la naturaleza amplia de esta actualización, sugerimos probar las siguientes características y componentes de Windows:

Además de estos cambios y los requisitos de prueba posteriores, he incluido algunos de los escenarios de prueba más difíciles para esta actualización de enero:

Con todos estos escenarios de prueba más difíciles, le recomendamos que analice su cartera de aplicaciones en busca de componentes de aplicaciones actualizados o dependencias a nivel de sistema. Este análisis debería proporcionar una lista corta de aplicaciones afectadas, lo que debería reducir el esfuerzo de prueba y posterior implementación.

Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y de escritorio de Windows. Ahora que Windows 10 21H2 ya no cuenta con soporte general, tenemos las siguientes aplicaciones de Microsoft que llegarán al final del soporte general en 2023:

Cada mes, dividimos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:

Microsoft ha lanzado cinco actualizaciones para su navegador Chromium este mes, todas ellas abordando vulnerabilidades relacionadas con la memoria de “Usar después de liberar” en el motor Chromium. Puede encontrar la versión de Microsoft de estas notas de la versión aquí y las notas de la versión del canal Google Desktop aquí. No hubo otras actualizaciones para los navegadores (o motores de renderizado) de Microsoft este mes. Agregue estas actualizaciones a su calendario de lanzamiento de parches estándar.

Enero trae 10 actualizaciones críticas así como 67 parches considerados importantes para la plataforma Windows. Cubren los siguientes componentes clave:

Generalmente, esta es una actualización enfocada en actualizar la red y la pila de autenticación local con algunas correcciones al ciclo de parches del mes pasado. Desafortunadamente, se ha informado públicamente de una vulnerabilidad (CVE-2023-21674) en una sección central del código de Windows (ALPC). Microsoft describe este escenario como "un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del SISTEMA". Gracias, Stiv, por tu arduo trabajo en este.

Tenga en cuenta: todas las agencias federales de EE. UU. han recibido instrucciones de parchear esta vulnerabilidad a finales de enero como parte de la “orden operativa vinculante” (BOD) de CISA.

Agregue esta actualización a su calendario de lanzamientos de “Parchear ahora”.

Microsoft abordó un único problema crítico con SharePoint Server (CVE-2023-21743) y otras ocho vulnerabilidades de seguridad calificadas como importantes por Microsoft que afectan a las aplicaciones Visio y Office 365. Nuestras pruebas no plantearon ningún problema importante relacionado con los cambios del martes de parches, dado que la mayoría de los cambios se incluyeron en las versiones Hacer clic y ejecutar de Microsoft, que tiene un perfil de implementación y prueba mucho más bajo. Agregue estas actualizaciones de Microsoft Office a su programa de implementación estándar.

Para este lanzamiento de parche de enero para Microsoft Exchange Server, Microsoft entregó cinco actualizaciones, todas calificadas como importantes para las versiones 2016 y 2019:

Ninguna de estas vulnerabilidades se hace pública, no se ha informado que haya sido explotada en la naturaleza ni se ha documentado que conduzca a la ejecución de código arbitrario. Con estos pocos problemas de seguridad de bajo riesgo, le recomendamos que se tome su tiempo para probar y actualizar cada servidor. Una cosa a tener en cuenta es que Microsoft ha introducido una nueva característica (firma de certificado PowerShell) en esta versión de "parche", que puede requerir pruebas adicionales. Agregue estas actualizaciones de Exchange Server a su programa de lanzamiento de servidor estándar.

Microsoft ha lanzado dos actualizaciones de su plataforma de desarrollador (CVE-2023-21779 y CVE-2023-21538) que afectan a Visual y Microsoft .NET 6.0. Microsoft considera que ambas actualizaciones son importantes y se pueden agregar a su calendario de lanzamiento estándar.

Las actualizaciones para Adobe Reader regresan este mes, aunque Microsoft no ha publicado los últimos parches. El último conjunto de actualizaciones (APSB 23-01) abordó ocho problemas críticos relacionados con la memoria y siete actualizaciones importantes, la peor de las cuales podría conducir a la ejecución de código arbitrario en ese sistema sin parches. Con una calificación CVSS superior al promedio (7,8), le recomendamos que agregue esta actualización a su ciclo de lanzamiento "Parchear ahora".

Greg Lambert es un evangelista de Application Readiness, los especialistas en evaluación en línea y conversión de aplicaciones. Greg es cofundador de ChangeBASE y ahora director ejecutivo de Application Readiness, y tiene una experiencia considerable en la tecnología de empaquetado de aplicaciones y su implementación.

Copyright © 2023 IDG Communications, Inc.