Es el segundo martes del mes y Microsoft ha lanzado otro conjunto de actualizaciones de seguridad para corregir un total de 97 defectos<\/a> impactando su software, uno de los cuales ha sido explotado activamente en ataques de ransomware en la naturaleza.<\/p>\n Siete de los 97 errores est\u00e1n clasificados como Cr\u00edticos y 90 est\u00e1n clasificados como Importantes en cuanto a su gravedad. Curiosamente, 45 de las deficiencias son fallas de ejecuci\u00f3n remota de c\u00f3digo, seguidas de 20 vulnerabilidades de elevaci\u00f3n de privilegios. Las actualizaciones tambi\u00e9n siguen las correcciones para 26 vulnerabilidades en su navegador Edge que se lanzaron durante el \u00faltimo mes.<\/p>\n La falla de seguridad que ha sido explotada activamente es CVE-2023-28252<\/a> (puntuaci\u00f3n CVSS: 7,8), un error de escalada de privilegios en el controlador del sistema de archivos de registro com\u00fan (CLFS) de Windows.<\/p>\n “Un atacante que explotara con \u00e9xito esta vulnerabilidad podr\u00eda obtener privilegios de SISTEMA”, dijo Microsoft en un aviso, dando cr\u00e9dito a los investigadores Boris Larin, Genwei Jiang y Quan Jin por informar sobre el problema.<\/p>\n CVE-2023-28252 es la cuarta falla de escalada de privilegios en el componente CLFS que ha sido objeto de abuso activo solo en el \u00faltimo a\u00f1o despu\u00e9s de CVE-2022-24521, CVE-2022-37969 y CVE-2023-23376 (puntajes CVSS: 7.8 ). Se han identificado al menos 32 vulnerabilidades en CLFS desde 2018.<\/p>\n Seg\u00fan la firma rusa de seguridad cibern\u00e9tica Kaspersky, la vulnerabilidad ha sido armada por un grupo de ciberdelincuencia para implementar el ransomware Nokoyawa contra peque\u00f1as y medianas empresas en el Medio Oriente, Am\u00e9rica del Norte y Asia.<\/p>\n “CVE-2023-28252 es una vulnerabilidad de escritura (incremento) fuera de los l\u00edmites que puede explotarse cuando el sistema intenta extender el bloque de metadatos”, Larin dicho<\/a>. “La vulnerabilidad se desencadena por la manipulaci\u00f3n del archivo de registro base”.<\/p>\n A la luz de la explotaci\u00f3n en curso de la falla, CISA agregado<\/a> el d\u00eda cero de Windows a su cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV<\/a>), ordenando a las agencias de la Rama Ejecutiva Civil Federal (FCEB, por sus siglas en ingl\u00e9s) asegurar sus sistemas antes del 2 de mayo de 2023.<\/p>\n Tambi\u00e9n se corrigieron fallas cr\u00edticas de ejecuci\u00f3n de c\u00f3digo remoto que afectan el servicio del servidor DHCP, el protocolo de t\u00fanel de capa 2, la extensi\u00f3n de imagen sin formato, el protocolo de t\u00fanel punto a punto de Windows, la multidifusi\u00f3n general pragm\u00e1tica de Windows y Microsoft Message Queuing (MSMQ<\/a>).<\/p>\n El error de MSMQ, rastreado como CVE-2023-21554<\/a> (puntuaci\u00f3n CVSS: 9,8) y denominado QueueJumper por Check Point, podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo no autorizado y apoderarse de un servidor mediante el env\u00edo de un paquete MSMQ malicioso especialmente dise\u00f1ado a un servidor MSMQ.<\/p>\n “La vulnerabilidad CVE-2023-21554 permite a un atacante ejecutar potencialmente c\u00f3digo de forma remota y sin autorizaci\u00f3n al llegar al puerto TCP 1801”, dijo el investigador de Check Point, Haifei Li. dicho<\/a>. “En otras palabras, un atacante podr\u00eda obtener el control del proceso a trav\u00e9s de un solo paquete al puerto 1801\/tcp con el exploit, lo que desencadenar\u00eda la vulnerabilidad”.<\/p>\n Otros dos defectos descubiertos en MSMQ, CVE-2023-21769<\/a> y CVE-2023-28302<\/a> (puntajes CVSS: 7.5), podr\u00eda explotarse para causar una condici\u00f3n de denegaci\u00f3n de servicio (DoS), como un bloqueo del servicio y la pantalla azul de la muerte de Windows (BSoD<\/a>).<\/p>\n Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n Microsoft tambi\u00e9n ha actualizado su aviso para CVE-2013-3900<\/a>una vulnerabilidad de validaci\u00f3n de firmas de WinVerifyTrust, para incluir las siguientes versiones de instalaci\u00f3n de Server Core:<\/p>\n El desarrollo se produce cuando se ha observado que los actores de amenazas vinculados a Corea del Norte aprovechan la falla para incorporar c\u00f3digo shell cifrado en bibliotecas leg\u00edtimas sin invalidar la firma emitida por Microsoft.<\/p>\n Junto con la actualizaci\u00f3n, el gigante tecnol\u00f3gico tambi\u00e9n emiti\u00f3 una gu\u00eda para CVE-2022-21894<\/a> (tambi\u00e9n conocido como Baton Drop), una falla de omisi\u00f3n de arranque seguro ahora reparada que ha sido explotada por actores de amenazas que utilizan un kit de arranque de Interfaz de firmware extensible unificada (UEFI) naciente llamado BlackLotus para establecer la persistencia en un host.<\/p>\n Algunos indicadores de compromiso (IoC) incluyen archivos de cargador de arranque bloqueados y creados recientemente en la partici\u00f3n del sistema EFI (ESP<\/a>), presencia del directorio provisional “ESP:\/system32\/”, modificaciones en la clave de registro “HKLM:SYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity” y registros de eventos asociados con la detenci\u00f3n de Microsoft Defender Antivirus.<\/p>\n “Los bootkits UEFI son particularmente peligrosos ya que se ejecutan al iniciar la computadora, antes de que se cargue el sistema operativo y, por lo tanto, pueden interferir o desactivar varios mecanismos de seguridad del sistema operativo (SO)”, dijo el equipo de respuesta a incidentes de Microsoft. dicho<\/a>.<\/p>\n Microsoft recomienda adem\u00e1s que los dispositivos comprometidos se eliminen de la red para examinarlos en busca de evidencia de actividad de seguimiento, reformatear o restaurar las m\u00e1quinas a partir de una copia de seguridad limpia conocida que incluya la partici\u00f3n EFI, mantener la higiene de las credenciales y hacer cumplir el principio de privilegio m\u00ednimo (PoLP<\/a>).<\/p>\n Adem\u00e1s de Microsoft, otros proveedores tambi\u00e9n han lanzado actualizaciones de seguridad en las \u00faltimas semanas para corregir varias vulnerabilidades, que incluyen:<\/p>\n <\/p>\n![\"Explotaci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/Urgente-Microsoft-emite-parches-para-97-fallas-incluido-el-exploit.png\" "\\"Explotaci\u00f3n")
<\/div>\n\n
Microsoft emite una gu\u00eda para los ataques de BlackLotus Bootkit<\/h2>\n
Parches de software de otros proveedores<\/h2>\n