Microsoft lanzó el martes actualizaciones para abordar un total de 132 nuevas fallas de seguridad abarcando su software, incluidas seis fallas de día cero que, según dijo, se han explotado activamente en la naturaleza.
De las 130 vulnerabilidades, nueve se clasifican como Críticas y 121 se clasifican como Importantes en gravedad. Esto es además de ocho defectos el gigante tecnológico parcheó su navegador Edge basado en Chromium a fines del mes pasado.
La lista de problemas que han sido objeto de explotación activa es la siguiente:
- CVE-2023-32046 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de la plataforma MSHTML de Windows
- CVE-2023-32049 (Puntuación CVSS: 8,8) – Vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen
- CVE-2023-35311 (Puntuación CVSS: 8,8) – Vulnerabilidad de omisión de la característica de seguridad de Microsoft Outlook
- CVE-2023-36874 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del servicio de informe de errores de Windows
- CVE-2023-36884 (Puntuación CVSS: 8,3) – Vulnerabilidad de ejecución remota de código HTML de Office y Windows (también conocida públicamente en el momento del lanzamiento)
- ADV230001 – Uso malicioso de controladores firmados por Microsoft para actividades posteriores a la explotación (sin CVE asignado)
El fabricante de Windows dijo que está al tanto de los ataques dirigidos contra entidades gubernamentales y de defensa en Europa y América del Norte que intentan explotar CVE-2023-36884 mediante el uso de señuelos de documentos de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania, haciéndose eco de los últimos hallazgos de BlackBerry. .
“Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima”, dijo Microsoft. «Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso».
La compañía ha señalado la campaña de intrusión a un grupo ciberdelincuente ruso al que rastrea como Storm-0978, que también se conoce con los nombres RomCom, Tropical Scorpius, UNC2596 y Void Rabisu.
«El actor también implementa el ransomware Underground, que está estrechamente relacionado con el ransomware Industrial Spy observado por primera vez en la naturaleza en mayo de 2022», dijo el equipo de Microsoft Threat Intelligence. explicado. «La última campaña del actor detectada en junio de 2023 involucró el abuso de CVE-2023-36884 para entregar una puerta trasera con similitudes con RomCom».
Los recientes ataques de phishing organizados por el actor implicaron el uso de versiones troyanizadas de software legítimo alojado en sitios web similares para implementar un troyano de acceso remoto llamado RomCom RAT contra varios objetivos ucranianos y pro-ucranianos en Europa del Este y América del Norte.
Si bien RomCom se registró por primera vez como un grupo vinculado al ransomware Cuba, desde entonces se ha vinculado a otras cepas de ransomware como Industrial Spy, así como a una nueva variante llamada Underground a partir de julio de 2023, que muestra importantes superposiciones de código fuente con Industry Spy.
Microsoft dijo que tiene la intención de tomar «las medidas adecuadas para ayudar a proteger a nuestros clientes» en forma de una actualización de seguridad fuera de banda o mediante su proceso de lanzamiento mensual. En ausencia de un parche para CVE-2023-36884, la empresa insta a los usuarios a utilizar el «Bloquee todas las aplicaciones de Office para que no creen procesos secundariosRegla de reducción de la superficie de ataque (ASR).
Redmond dijo además que revocó los certificados de firma de código utilizados para firmar e instalar controladores maliciosos en modo kernel en sistemas comprometidos al explotar una laguna en la política de Windows para alterar la fecha de firma de los controladores antes del 29 de julio de 2015, al hacer uso de herramientas de código abierto como HookSignTool y FuckCertVerifyTimeValidity.
Los hallazgos sugieren que el uso de controladores no autorizados en modo kernel está ganando terreno entre los actores de amenazas, ya que operan con el nivel de privilegio más alto en Windows, lo que hace posible establecer la persistencia durante períodos prolongados mientras interfieren simultáneamente con el funcionamiento del software de seguridad. para evadir la detección.
🔐 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales
Este seminario web dirigido por expertos lo equipará con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.
Actualmente no está claro cómo se explotan las otras fallas y qué tan ampliamente se propagan esos ataques. Pero a la luz del abuso activo, se recomienda que los usuarios se muevan rápidamente para aplicar las actualizaciones para mitigar las amenazas potenciales.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen: