Parche de Microsoft Abril 2023
INTRODUCCIÓN
Microsoft ha publicado alrededor de 97 parches de vulnerabilidad. De estos, 7 son críticos. En este caso vamos a centrarnos en 5 vulnerabilidades críticas: CVE-2023-21554, CVE-2023-28250, CVE-2023-28219, CVE-2023-28220, CVE-2023-28232.
Hay que resaltar también el CVE-2023-28252 que se conoce que esta siendo explotado activamente y el CVE-2023-28231 que aprovecha un error RCE en el servicio DHCP Server.
Las vulnerabilidades podrían clasificarse en los siguientes tipos:
- 20 Vulnerabilidades de elevación de privilegios
- 8 Vulnerabilidades de elusión de funciones de seguridad
- 45 Vulnerabilidades de ejecución remota de código
- 10 Vulnerabilidades de divulgación de información
- 9 Vulnerabilidades de denegación de servicio
- 6 Vulnerabilidades de suplantación de identidad
ANÁLISIS
CVE-2023-21554 CVSS 9.8:
Para explotar esta vulnerabilidad, un atacante necesitaría enviar un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ. Esto podría resultar en la ejecución remota de código en el lado del servidor.
CVE-2023-28250 CVSS 9.8:
Cuando el servicio Windows Message Queuing está habilitado, un atacante que explote con éxito esta vulnerabilidad podría enviar un archivo especialmente diseñado a través de la red para lograr la ejecución remota de código e intentar desencadenar código malicioso.
CVE-2023-28219 CVSS 8.1:
Un atacante no autenticado podría enviar una solicitud de conexión especialmente diseñada a un servidor RAS, lo que podría conducir a la ejecución remota de código (RCE) en la máquina del servidor RAS.
CVE-2023-28220 CVSS 8.1:
Un atacante no autenticado podría enviar una solicitud de conexión especialmente diseñada a un servidor RAS, lo que podría conducir a la ejecución remota de código (RCE) en la máquina del servidor RAS.
CVE-2023-28232 CVSS 7.5:
Se trata de una vulnerabilidad de ejecución remota de código del protocolo de túnel punto a punto de Windows que podría activarse cuando un usuario conecta un cliente Windows a un servidor malicioso.
VERSIONES AFECTADAS
Estas vulnerabilidades afectan a diferentes versiones de Windows y Windows Server. Para cada vulnerabilidad revisar el link en el apartado "Referencias" y ver los productos afectados.
CVE-2023-21554:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
CVE-2023-28250:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28250
CVE-2023-28219:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28219
CVE-2023-28220:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28220
CVE-2023-28232:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28232
RECOMENDACIONES
Para cada vulnerabilidad revisar el link en el apartado "Referencias" y seguir las instrucciones de actualización para cada versión del producto dadas por Microsoft.
CVE-2023-21554:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
CVE-2023-28250:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28250
CVE-2023-28219:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28219
CVE-2023-28220:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28220
CVE-2023-28232:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28232
También existe una mitigación para una de ellas:
CVE-2023-21554:
El servicio de cola de mensajes de Windows, que es un componente de Windows, debe estar habilitado para que un sistema pueda ser explotado por esta vulnerabilidad. Esta función puede añadirse a través del Panel de control.
Puede comprobar si hay un servicio en ejecución llamado Message Queuing y el puerto TCP 1801 está escuchando en la máquina.
REFERENCIAS
https://msrc.microsoft.com/update-guide/vulnerability
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr