Urgente: Microsoft emite parches para 97 fallas, incluido el exploit de ransomware activo


12 de abril de 2023Ravie LakshmanánMartes de parches / Actualizaciones de software

Es el segundo martes del mes y Microsoft ha lanzado otro conjunto de actualizaciones de seguridad para corregir un total de 97 defectos impactando su software, uno de los cuales ha sido explotado activamente en ataques de ransomware en la naturaleza.

Siete de los 97 errores están clasificados como Críticos y 90 están clasificados como Importantes en cuanto a su gravedad. Curiosamente, 45 de las deficiencias son fallas de ejecución remota de código, seguidas de 20 vulnerabilidades de elevación de privilegios. Las actualizaciones también siguen las correcciones para 26 vulnerabilidades en su navegador Edge que se lanzaron durante el último mes.

La falla de seguridad que ha sido explotada activamente es CVE-2023-28252 (puntuación CVSS: 7,8), un error de escalada de privilegios en el controlador del sistema de archivos de registro común (CLFS) de Windows.

“Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA”, dijo Microsoft en un aviso, dando crédito a los investigadores Boris Larin, Genwei Jiang y Quan Jin por informar sobre el problema.

CVE-2023-28252 es la cuarta falla de escalada de privilegios en el componente CLFS que ha sido objeto de abuso activo solo en el último año después de CVE-2022-24521, CVE-2022-37969 y CVE-2023-23376 (puntajes CVSS: 7.8 ). Se han identificado al menos 32 vulnerabilidades en CLFS desde 2018.

Según la firma rusa de seguridad cibernética Kaspersky, la vulnerabilidad ha sido armada por un grupo de ciberdelincuencia para implementar el ransomware Nokoyawa contra pequeñas y medianas empresas en el Medio Oriente, América del Norte y Asia.

“CVE-2023-28252 es una vulnerabilidad de escritura (incremento) fuera de los límites que puede explotarse cuando el sistema intenta extender el bloque de metadatos”, Larin dicho. “La vulnerabilidad se desencadena por la manipulación del archivo de registro base”.

A la luz de la explotación en curso de la falla, CISA agregado el día cero de Windows a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias de la Rama Ejecutiva Civil Federal (FCEB, por sus siglas en inglés) asegurar sus sistemas antes del 2 de mayo de 2023.

Explotación activa de ransomware

También se corrigieron fallas críticas de ejecución de código remoto que afectan el servicio del servidor DHCP, el protocolo de túnel de capa 2, la extensión de imagen sin formato, el protocolo de túnel punto a punto de Windows, la multidifusión general pragmática de Windows y Microsoft Message Queuing (MSMQ).

El error de MSMQ, rastreado como CVE-2023-21554 (puntuación CVSS: 9,8) y denominado QueueJumper por Check Point, podría conducir a la ejecución de código no autorizado y apoderarse de un servidor mediante el envío de un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ.

“La vulnerabilidad CVE-2023-21554 permite a un atacante ejecutar potencialmente código de forma remota y sin autorización al llegar al puerto TCP 1801”, dijo el investigador de Check Point, Haifei Li. dicho. “En otras palabras, un atacante podría obtener el control del proceso a través de un solo paquete al puerto 1801/tcp con el exploit, lo que desencadenaría la vulnerabilidad”.

Otros dos defectos descubiertos en MSMQ, CVE-2023-21769 y CVE-2023-28302 (puntajes CVSS: 7.5), podría explotarse para causar una condición de denegación de servicio (DoS), como un bloqueo del servicio y la pantalla azul de la muerte de Windows (BSoD).

PRÓXIMO SEMINARIO WEB

Aprenda a proteger el perímetro de identidad: estrategias comprobadas

Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!

No se lo pierda: ¡guarde su asiento!

Microsoft también ha actualizado su aviso para CVE-2013-3900una vulnerabilidad de validación de firmas de WinVerifyTrust, para incluir las siguientes versiones de instalación de Server Core:

  • Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas basados ​​en x65 Service Pack 2
  • Servicio 1 de Windows Server 2008 R2 para sistemas basados ​​en x64
  • Servidor Windows 2012
  • Servidor Windows 2012 R2
  • Servidor Windows 2016
  • Windows Server 2019 y
  • Servidor Windows 2022

El desarrollo se produce cuando se ha observado que los actores de amenazas vinculados a Corea del Norte aprovechan la falla para incorporar código shell cifrado en bibliotecas legítimas sin invalidar la firma emitida por Microsoft.

Microsoft emite una guía para los ataques de BlackLotus Bootkit

Junto con la actualización, el gigante tecnológico también emitió una guía para CVE-2022-21894 (también conocido como Baton Drop), una falla de omisión de arranque seguro ahora reparada que ha sido explotada por actores de amenazas que utilizan un kit de arranque de Interfaz de firmware extensible unificada (UEFI) naciente llamado BlackLotus para establecer la persistencia en un host.

Algunos indicadores de compromiso (IoC) incluyen archivos de cargador de arranque bloqueados y creados recientemente en la partición del sistema EFI (ESP), presencia del directorio provisional “ESP:/system32/”, modificaciones en la clave de registro “HKLM:SYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity” y registros de eventos asociados con la detención de Microsoft Defender Antivirus.

“Los bootkits UEFI son particularmente peligrosos ya que se ejecutan al iniciar la computadora, antes de que se cargue el sistema operativo y, por lo tanto, pueden interferir o desactivar varios mecanismos de seguridad del sistema operativo (SO)”, dijo el equipo de respuesta a incidentes de Microsoft. dicho.

Microsoft recomienda además que los dispositivos comprometidos se eliminen de la red para examinarlos en busca de evidencia de actividad de seguimiento, reformatear o restaurar las máquinas a partir de una copia de seguridad limpia conocida que incluya la partición EFI, mantener la higiene de las credenciales y hacer cumplir el principio de privilegio mínimo (PoLP).

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen:

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.



ttn-es-57