Las primeras correcciones del martes de parches enviadas por Microsoft para 2023 han abordado un total de 98 fallas de seguridadincluido un error que, según la compañía, se está explotando activamente en la naturaleza.
11 de los 98 problemas están clasificados como Críticos y 87 están clasificados como Importantes en cuanto a su gravedad, y una de las vulnerabilidades también figura como conocida públicamente en el momento del lanzamiento. Por separado, se espera que el fabricante de Windows publique actualizaciones para su navegador Edge basado en Chromium.
La vulnerabilidad que está bajo ataque se relaciona con CVE-2023-21674 (puntuación CVSS: 8.8), una falla de escalada de privilegios en la llamada de procedimiento local avanzado de Windows (ALPC) que podría ser explotado por un atacante para obtener permisos de SISTEMA.
«Esta vulnerabilidad podría conducir a un escape de la caja de arena del navegador», señaló Microsoft en un aviso, dando crédito a los investigadores de Avast Jan Vojtěšek, Milánek y Przemek Gmerek por informar el error.
Si bien los detalles de la vulnerabilidad aún están en secreto, una explotación exitosa requiere que un atacante ya haya obtenido una infección inicial en el host. También es probable que la falla se combine con un error presente en el navegador web para salir de la zona de pruebas y obtener privilegios elevados.
«Una vez que se haya hecho el punto de apoyo inicial, los atacantes buscarán moverse a través de una red u obtener niveles de acceso más altos adicionales y este tipo de vulnerabilidades de escalada de privilegios son una parte clave del libro de jugadas de ese atacante», Kev Breen, director de investigación de amenazas cibernéticas en Laboratorios de inmersión, dijo.
Habiendo dicho eso, las posibilidades de que una cadena de explotación como esta se emplee de manera generalizada son limitadas debido a la función de actualización automática utilizada para parchear los navegadores, dijo Satnam Narang, ingeniero de investigación senior de Tenable.
También vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la vulnerabilidad a sus Vulnerabilidades Explotadas Conocidas (KEV) catálogo, instando a las agencias federales a aplicar parches antes del 31 de enero de 2023.
Además, CVE-2023-21674 es la cuarta falla de este tipo identificada en ALPC, una función de comunicación entre procesos (IPC) proporcionada por el kernel de Microsoft Windows, después de CVE-2022-41045, CVE-2022-41093y CVE-2022-41100 (puntajes CVSS: 7.8), los últimos tres de los cuales se conectaron en noviembre de 2022.
Otras dos vulnerabilidades de escalada de privilegios identificadas como de alta prioridad afectan a Microsoft Exchange Server (CVE-2023-21763 y CVE-2023-21764puntuaciones CVSS: 7,8), que se derivan de un parche incompleto para CVE-2022-41123, según Qualys.
«Un atacante podría ejecutar código con privilegios de nivel de SISTEMA al explotar una ruta de archivo codificada», dijo Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas en Qualys, en un comunicado.
Microsoft también resolvió una omisión de la función de seguridad en SharePoint Server (CVE-2023-21743, puntaje CVSS: 5.3) que podría permitir a un atacante no autenticado eludir la autenticación y establecer una conexión anónima. El gigante tecnológico señaló que «los clientes también deben activar una acción de actualización de SharePoint incluida en esta actualización para proteger su granja de SharePoint».
La actualización de enero corrige aún más una serie de fallas en la escalada de privilegios, incluida una en el Administrador de credenciales de Windows (CVE-2023-21726puntuación CVSS: 7,8) y tres que afectan al componente Print Spooler (CVE-2023-21678, CVE-2023-21760y CVE-2023-21765).
A la Agencia de Seguridad Nacional de EE. UU. (NSA) se le atribuye el informe CVE-2023-21678. En total, 39 de las vulnerabilidades que Microsoft cerró en su última actualización permiten la elevación de privilegios.
Completando la lista está CVE-2023-21549 (puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios conocida públicamente en el servicio de testigo SMB de Windows y otra instancia de omisión de características de seguridad que afecta a BitLocker (CVE-2023-21563puntuación CVSS: 6,8).
«Un atacante exitoso podría eludir la función de Cifrado de dispositivo BitLocker en el dispositivo de almacenamiento del sistema», dijo Microsoft. «Un atacante con acceso físico al objetivo podría explotar esta vulnerabilidad para obtener acceso a datos cifrados».
Por último, Redmond tiene revisó su guía sobre el uso malicioso de controladores firmados (llamado Bring Your Own Vulnerable Driver) para incluir un lista de bloqueo actualizada lanzado como parte de las actualizaciones de seguridad de Windows el 10 de enero de 2023.
CISA el martes también agregó CVE-2022-41080una falla de escalada de privilegios de Exchange Server, al catálogo de KEV después de los informes de que la vulnerabilidad se está encadenando junto con CVE-2022-41082 para lograr la ejecución remota de código en sistemas vulnerables.
El exploit, cuyo nombre en código es OWASSRF por CrowdStrike, ha sido aprovechado por los actores del ransomware Play para violar los entornos de destino. Microsoft corrigió los defectos en noviembre de 2022.
Las actualizaciones de Patch Tuesday también llegan como Windows 7, Windows 8.1 y Windows RT alcanzó fin del soporte el 10 de enero de 2023. Microsoft dijo que no ofrecerá un programa de actualización de seguridad extendida (ESU) para Windows 8.1, sino que instará a los usuarios a actualizar a Windows 11.
«Continuar usando Windows 8.1 después del 10 de enero de 2023 puede aumentar la exposición de una organización a los riesgos de seguridad o afectar su capacidad para cumplir con las obligaciones de cumplimiento», dijo la empresa. advertido.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, que incluyen: