Microsoft lanzó el martes actualizaciones de seguridad para abordar 75 defectos que abarcan su cartera de productos, tres de los cuales han sido objeto de explotación activa en la naturaleza.
Las actualizaciones se suman a las 22 fallas del fabricante de Windows. parcheado en su navegador Edge basado en Chromium durante el último mes.
De las 75 vulnerabilidades, nueve se clasifican como Críticas y 66 se clasifican como Importantes en gravedad. 37 de 75 errores se clasifican como fallas de ejecución remota de código (RCE). Los tres días cero de la nota que se han explotado son los siguientes:
- CVE-2023-21715 (Puntuación CVSS: 7,3) – Vulnerabilidad de omisión de la función de seguridad de Microsoft Office
- CVE-2023-21823 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del componente de gráficos de Windows
- CVE-2023-23376 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro comunes de Windows (CLFS)
«El ataque en sí lo lleva a cabo localmente un usuario con autenticación en el sistema objetivo», dijo Microsoft en el aviso para CVE-2023-21715.
«Un atacante autenticado podría aprovechar la vulnerabilidad al convencer a la víctima, a través de la ingeniería social, de que descargue y abra un archivo especialmente diseñado desde un sitio web que podría conducir a un ataque local en la computadora de la víctima».
La explotación exitosa de las fallas anteriores podría permitir a un adversario eludir las políticas de macros de Office utilizadas para bloquear archivos no confiables o maliciosos u obtener privilegios de SISTEMA.
CVE-2023-23376 es también la tercera falla de día cero explotada activamente en el componente CLFS después de CVE-2022-24521 y CVE-2022-37969 (puntajes CVSS: 7.8), que Microsoft abordó en abril y septiembre de 2022.
«El controlador del sistema de archivos de registro comunes de Windows es un componente del sistema operativo Windows que administra y mantiene un sistema de archivos de registro basado en transacciones de alto rendimiento», dijo Nikolas Cemerikic de Immersive Labs.
«Es un componente esencial del sistema operativo Windows, y cualquier vulnerabilidad en este controlador podría tener implicaciones significativas para la seguridad y confiabilidad del sistema».
Vale la pena señalar que Microsoft OneNote para Android es vulnerable a CVE-2023-21823, y con el servicio de toma de notas emergiendo cada vez más como un conducto para entregar malware, es crucial que los usuarios apliquen las correcciones.
Microsoft también aborda varios defectos de RCE en Exchange Server, el controlador ODBC, el controlador de impresora PostScript y SQL Server, así como los problemas de denegación de servicio (DoS) que afectan el servicio iSCSI de Windows y el canal seguro de Windows.
Tres de las fallas de Exchange Server están clasificadas por la compañía como «Explotación más probable», aunque la explotación exitosa requiere que el atacante ya esté autenticado.
Los servidores de Exchange han demostrado ser objetivos de alto valor en los últimos años, ya que pueden permitir el acceso no autorizado a información confidencial o facilitar los ataques de Business Email Compromise (BEC).
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen: