Microsoft ha lanzado Actualizaciones del martes de parches para mayo de 2023 para abordar 38 fallas de seguridad, incluida una falla de día cero que, según dijo, se está explotando activamente en la naturaleza.
Iniciativa de día cero de Trend Micro (ZDI) dicho el volumen es el más bajo desde agosto de 2021, aunque apuntó que “se espera que esta cifra aumente en los próximos meses”.
De las 38 vulnerabilidades, seis se clasifican como Críticas y 32 se clasifican como Importantes en gravedad. Ocho de las fallas han sido etiquetadas con la evaluación de «Explotación más probable» por parte de Microsoft.
esto es aparte de 18 defectos – incluyendo 11 errores desde principios de mayo – el fabricante de Windows resolvió en su navegador Edge basado en Chromium luego del lanzamiento de las actualizaciones del martes de parches de abril.
Encabezando la lista está CVE-2023-29336 (Puntuación CVSS: 7,8), una falla de escalada de privilegios en Win32k que ha sido objeto de explotación activa. No está claro de inmediato qué tan generalizados son los ataques.
«Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA», dijo Microsoft, y reconoció a los investigadores de Avast Jan Vojtěšek, Milánek y Luigino Camastra por informar sobre la falla.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la falla a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, instando a las organizaciones a aplicar correcciones de proveedores antes del 30 de mayo de 2023.
También cabe destacar dos fallas conocidas públicamente, una de las cuales es una falla crítica de ejecución remota de código que afecta a Windows OLE (CVE-2023-29325puntaje CVSS: 8.1) que un actor podría usar como arma al enviar un correo electrónico especialmente diseñado a la víctima.
Microsoft, como mitigación, recomienda que los usuarios lean los mensajes de correo electrónico en formato de texto sin formato para protegerse contra esta vulnerabilidad.
La segunda vulnerabilidad conocida públicamente es CVE-2023-24932 (Puntuación CVSS: 6,7), una omisión de la función de seguridad de arranque seguro que está armada por el kit de arranque BlackLotus UEFI para explotar CVE-2022-21894 (también conocido como Baton Drop), que se resolvió en enero de 2022.
«Esta vulnerabilidad permite que un atacante ejecute código autofirmado en la interfaz de firmware extensible unificada (UEFI) mientras el Arranque seguro está habilitado», Microsoft dicho en una guía separada.
«Esto es utilizado por los actores de amenazas principalmente como un mecanismo de evasión de defensa y persistencia. La explotación exitosa depende de que el atacante tenga acceso físico o privilegios de administrador local en el dispositivo objetivo».
Vale la pena señalar que la solución enviada por Microsoft está deshabilitada de forma predeterminada y requiere que los clientes apliquen manualmente las revocaciones, pero no antes de actualizar todos los medios de arranque.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«Una vez que la mitigación de este problema está habilitada en un dispositivo, lo que significa que se han aplicado las revocaciones, no se puede revertir si continúa usando el Arranque seguro en ese dispositivo», dijo Microsoft. advertido. «Incluso reformatear el disco no eliminará las revocaciones si ya se han aplicado».
El gigante tecnológico dijo que está adoptando un enfoque por etapas para bloquear completamente el vector de ataque para evitar riesgos de interrupción no deseados, un ejercicio que se espera que se prolongue hasta el primer trimestre de 2024.
«Los esquemas de arranque seguro basados en UEFI modernos son extremadamente complicados de configurar correctamente y/o reducir sus superficies de ataque de manera significativa», firma de seguridad de firmware Binarly anotado a principios de marzo. «Dicho esto, es poco probable que los ataques del gestor de arranque desaparezcan pronto».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen: