Microsoft ha publicado correcciones para abordar 63 errores de seguridad<\/a> en su software para el mes de noviembre de 2023, incluidas tres vulnerabilidades que han sido explotadas activamente en la naturaleza.<\/p>\n De los 63 defectos, tres est\u00e1n clasificados como cr\u00edticos, 56 como importantes y cuatro como de gravedad moderada. Dos de ellos figuraban como de conocimiento p\u00fablico en el momento de la publicaci\u00f3n.<\/p>\n Las actualizaciones se suman a m\u00e1s de 35 deficiencias de seguridad<\/a> abordado en su navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches para octubre de 2023.<\/p>\n Los cinco d\u00edas cero que son dignos de menci\u00f3n son los siguientes:<\/p>\n Un atacante podr\u00eda explotar tanto CVE-2023-36033 como CVE-2023-36036 para obtener privilegios del SISTEMA, mientras que CVE-2023-36025 podr\u00eda permitir eludir las comprobaciones de Windows Defender SmartScreen y sus mensajes asociados.<\/p>\n “El usuario tendr\u00eda que hacer clic en un acceso directo a Internet (.URL) especialmente dise\u00f1ado o en un hiperv\u00ednculo que apunte a un archivo de acceso directo a Internet para que el atacante lo comprometa”, dijo Microsoft sobre CVE-2023-36025.<\/p>\n CVE-2023-36025 es la tercera vulnerabilidad de d\u00eda cero de Windows SmartScreen explotada en estado salvaje en 2023 y la cuarta en los \u00faltimos dos a\u00f1os. En diciembre de 2022, Microsoft parche\u00f3 CVE-2022-44698 (puntuaci\u00f3n CVSS: 5,4), mientras que CVE-2023-24880 (puntaje CVSS: 5,1) se parche\u00f3 en marzo y CVE-2023-32049 (puntuaci\u00f3n CVSS: 8,8) se parche\u00f3 en julio. .<\/p>\n El fabricante de Windows, sin embargo, no ha proporcionado m\u00e1s orientaci\u00f3n sobre los mecanismos de ataque empleados y los actores de amenazas que pueden estar utiliz\u00e1ndolos como arma. Pero la explotaci\u00f3n activa de las fallas de escalada de privilegios sugiere que probablemente se utilicen junto con un error de ejecuci\u00f3n remota de c\u00f3digo. <\/p>\n “Ha habido 12 vulnerabilidades de elevaci\u00f3n de privilegios en la biblioteca principal de DWM en los \u00faltimos dos a\u00f1os, aunque esta es la primera que ha sido explotada en la naturaleza como un d\u00eda cero”, dijo Satnam Narang, ingeniero senior de investigaci\u00f3n de Tenable. en un comunicado compartido con The Hacker News.<\/p>\n El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar<\/a> los tres problemas de su cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 5 de diciembre de 2023.<\/p>\n Microsoft tambi\u00e9n parch\u00f3 dos fallas cr\u00edticas de ejecuci\u00f3n remota de c\u00f3digo en el Protocolo de autenticaci\u00f3n extensible protegido y la multidifusi\u00f3n general pragm\u00e1tica (CVE-2023-36028<\/a> y CVE-2023-36397<\/a>puntuaciones CVSS: 9,8) que un actor de amenazas podr\u00eda aprovechar para desencadenar la ejecuci\u00f3n de c\u00f3digo malicioso.<\/p>\n La actualizaci\u00f3n de noviembre incluye adem\u00e1s un parche para CVE-2023-38545 (puntuaci\u00f3n CVSS: 9,8), un parche cr\u00edtico falla de desbordamiento del buffer basado en mont\u00f3n<\/a> en la biblioteca curl que sali\u00f3 a la luz el mes pasado, as\u00ed como una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n en la CLI de Azure (CVE-2023-36052<\/a>puntuaci\u00f3n CVSS: 8,6).<\/p>\n “Un atacante que explotara con \u00e9xito esta vulnerabilidad podr\u00eda recuperar contrase\u00f1as y nombres de usuario en texto plano de los archivos de registro creados por los comandos CLI afectados y publicados por Azure DevOps y\/o GitHub Actions”, dijo Microsoft.<\/p>\n El investigador de Palo Alto Networks, Aviad Hahami, quien inform\u00f3 sobre el problema, dicho<\/a> la vulnerabilidad podr\u00eda permitir el acceso a las credenciales almacenadas en el registro de la tuber\u00eda y permitir que un adversario aumente potencialmente sus privilegios para ataques posteriores.<\/p>\n\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-Microsoft-lanza-actualizaciones-de-parches-para-5-nuevas-vulnerabilidades.jpg\")
<\/a><\/center><\/div>\n