Microsoft Patch Tuesday Enero 2023
INTRODUCCIÓN
En el primer Microsoft Patch Tuesday de 2023, recibimos parches para 98 vulnerabilidades. De ellas, 11 son críticas, 1 fue revelada previamente y 1 ya está siendo explotada, según Microsoft.
En este caso vamos a centrarnos en 3 vulnerabilidades críticas: la vulnerabilidad 0 day de elevación de privilegios en ALPC CVE-2023-21674, la vulnerabilidad previamente divulgada que afecta al SMB de Windows (CVE-2023-21549) y una vulnerabilidad crítica de elevación de privilegios que afecta a Microsoft Cryptographic Services (CVE-2023-21561)
En este mes ha habido 98 vulnerabilidades de los siguientes tipos:
39 Vulnerabilidades de elevación de privilegios
4 Vulnerabilidades de evasión de funciones de seguridad
33 Vulnerabilidades de ejecución remota de código
10 Vulnerabilidades de divulgación de información
10 Vulnerabilidades de denegación de servicio
2 Vulnerabilidades de suplantación de identidadANÁLISIS
La vulnerabilidad de 0-day es una vulnerabilidad de elevación de privilegios en Windows Advanced Local Procedure Call (ALPC) (CVE-2023-21674). Según el informe, la explotación de esta vulnerabilidad podría conducir a una fuga de la sandbox del navegador y dar al atacante privilegios de SISTEMA. Esta vulnerabilidad ya está siendo explotada. El CVSS de esta vulnerabilidad es 8'8, el más alto de este mes.
La siguiente vulnerabilidad es la elevación de privilegios que afecta al Servicio de testigos SMB de Windows (CVE-2023-21549). Según el informe, para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado para que ejecute una llamada RPC a un host RPC. Esto podría dar lugar a una elevación de privilegios en el servidor. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar funciones RPC restringidas únicamente a cuentas con privilegios. El CVSS de esta vulnerabilidad también es 8'8.
Existe una tercera vulnerabilidad crítica de elevación de privilegios con CVSS 8'8. Esta afecta a Microsoft Cryptographic Services (CVE-2023-21561). Según el informe, un atacante autenticado localmente podría enviar datos especialmente diseñados al servicio CSRSS local para elevar sus privilegios de AppContainer a SYSTEM.
Entre las vulnerabilidades críticas, hay 7 de ejecución remota de código, 3 de elevación de privilegios y 1 de evasión de funciones de seguridad.
Versiones afectadas:
Para cada vulnerabilidad revisar el link en el apartado "Referencias" y ver los productos afectados.
CVE-2023-21674: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674
CVE-2023-21549: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21549
CVE-2023-21561: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21561
RECOMENDACIONES
Para cada vulnerabilidad revisar el link en el apartado "Referencias" y seguir las instrucciones de actualización para cada versión del producto dadas por Microsoft.
CVE-2023-21674: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674
CVE-2023-21549: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21549
CVE-2023-21561: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21561
REFERENCIAS
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan
https://patchtuesdaydashboard.com/
https://isc.sans.edu/diary/Microsoft+January+2023+Patch+Tuesday/29420/
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21549
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-2156