Parche de Microsoft Mayo 2023
INTRODUCCIÓN
Microsoft ha publicado 38 parches de vulnerabilidad. Se pueden clasificar como:
- 8 Vulnerabilidades de Elevación de Privilegios
- 4 Vulnerabilidades de elusión de funciones de seguridad
- 12 Vulnerabilidades de ejecución remota de código
- 8 Vulnerabilidades de divulgación de información
- 5 Vulnerabilidades de denegación de servicio
- 1 vulnerabilidad de suplantación de identidad
Afectan a múltiples productos de Microsoft como Office, múltiples versiones de Windows Server, Windows 10/11. De ellas, 6 son críticas y 3 son explotables. Nos centraremos en:
CVE-2023-29335, CVE-2023-24901, CVE-2023-24903,CVE-2023-24941, CVE-2023-24943, CVE-2023-28283,CVE-2023-29336,CVE-2023-24932, CVE-2023-29325.
ANÁLISIS
CVE-2023-29325 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1:
Esta vulnerabilidad está siendo explotada. En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el correo electrónico especialmente diseñado a la víctima. La explotación de la vulnerabilidad puede implicar que la víctima abra un mensaje de correo electrónico especialmente diseñado con una versión afectada del software Microsoft Outlook, o que la aplicación Outlook de la víctima muestre una vista previa de un mensaje de correo electrónico especialmente diseñado. Esto podría dar lugar a que el atacante ejecute código remoto en la máquina de la víctima.
CVE-2023-24932 CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - 6.2:
Esta vulnerabilidad está siendo explotada. Secure Boot Security Feature Bypass requiere que un atacante que tenga acceso físico o derechos administrativos a un dispositivo de destino pueda instalar una política de arranque afectada.
CVE-2023-29336 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 7.8:
Esta vulnerabilidad está siendo explotada. Vulnerabilidad de elevación de privilegios de Win32k que permitiría a un atacante que explotara con éxito esta vulnerabilidad obtener privilegios de SYSTEM.
CVE-2023-24943 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Windows Pragmatic General Multicast (PGM) Remote Code Execution. Un atacante podría enviar un archivo especialmente diseñado a través de la red para lograr la ejecución remota de código e intentar activar código malicioso cuando el servicio Windows Message Queuing se está ejecutando en un entorno de servidor PGM.
CVE-2023-24941 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:
Ejecución remota de código del sistema de archivos de red de Windows que podría aprovecharse a través de la red realizando una llamada no autenticada y especialmente diseñada a un servicio del sistema de archivos de red (NFS) para desencadenar una ejecución remota de código (RCE).
CVE-2023-28283 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1:
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution que podría permitir a un atacante no autenticado que explotara con éxito esta vulnerabilidad obtener la ejecución de código a través de un conjunto especialmente diseñado de llamadas LDAP para ejecutar código arbitrario dentro del contexto del servicio LDAP.
CVE-2023-24903 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 8.1:
Windows Secure Socket Tunneling Protocol que podría resultar en la ejecución remota de código en el lado del servidor a través de un paquete SSTP malicioso especialmente diseñado a un servidor SSTP.
CVE-2023-29335 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7.5:
Vulnerabilidad de elusión de funciones de seguridad de Microsoft Word que requiere que un usuario abra un archivo manipulado y podría permitir a un atacante eludir funciones específicas de la vista protegida de Office:
En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que lo abra.
En un escenario de ataque basado en web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad.
CVE-2023-24901 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7.5:
Windows NFS Portmapper Information Disclosure Vulnerability que podría permitir a un atacante leer porciones de memoria de la pila.
VERSIONES AFECTADAS
- CVE-2023-29325: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29325
- CVE-2023-24932: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24932
- CVE-2023-29336: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29336
- CVE-2023-24943: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24943
- CVE-2023-24941: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24941
- CVE-2023-28283: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-28283
- CVE-2023-24903: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24903
- CVE-2023-29335: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29335
- CVE-2023-24901: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24901
RECOMENDACIONES
Actualice según las instrucciones de los enlaces de las versiones afectadas. Además, Microsoft ha publicado soluciones temporales para algunos CVE:
CVE-2023-24941:
Solución temporal:
Las siguientes medidas paliativas podrían ser útiles en su situación:
Esta vulnerabilidad no es explotable en NFSV2.0 o NFSV3.0. Antes de actualizar su versión de Windows que protege contra esta vulnerabilidad, puede mitigar un ataque desactivando NFSV4.1. Esto podría afectar negativamente a su ecosistema y sólo debería utilizarse como mitigación temporal.
Advertencia NO debe aplicar esta mitigación a menos que haya instalado las actualizaciones de seguridad de Windows de mayo de 2022.
El siguiente comando PowerShell desactivará esas versiones:
PS C:\Set-NfsServerConfiguration -EnableNFSV4 $false
CVE-2023-29325:
Solución temporal:
Utilice Microsoft Outlook para reducir el riesgo de que los usuarios abran archivos RTF de fuentes desconocidas o no fiables.
Para ayudar a protegerse contra esta vulnerabilidad, recomendamos a los usuarios que lean los mensajes de correo electrónico en formato de texto sin formato.
Para obtener orientación sobre cómo configurar Microsoft Outlook para que lea todo el correo estándar en texto sin formato, consulte Leer mensajes de correo electrónico en texto sin formato.
Repercusión de la solución: Los mensajes de correo electrónico que se visualizan en formato de texto sin formato no contendrán imágenes, fuentes especializadas, animaciones u otro contenido enriquecido. Además, es posible que se produzca el siguiente comportamiento:
Los cambios se aplican al panel de vista previa y a los mensajes abiertos.
Las imágenes se convierten en archivos adjuntos para que no se pierdan.
Como el mensaje sigue estando en formato Rich Text o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse de forma inesperada.
REFERENCIAS
https://msrc.microsoft.com/update-guide/releaseNote/2023-May
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29325
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24932
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29336
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24943
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24941
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-28283
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24903
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29335
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24901