![Microsoft-logo](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/01/Microsoft-logo-scaled.jpg)
Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades, incluida una de día cero (0-day) que afectan a productos de Microsoft, que permitirían a un atacante realizar escalamiento de privilegios, ejecución remota de código (RCE), denegación de servicio (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 77 (setenta y siete) de severidad “Alta”, 11 (once) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-21674, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad de día cero (0-day) se debe a una falla de seguridad en Windows Advanced Local Procedure Call (ALPC). Esto permitiría a un atacante realizar escalamiento de privilegios en el sistema afectado.
- CVE-2023-21549, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en Windows SMB Witness Service. Esto permitiría a un atacante realizar escalamiento de privilegios en el sistema afectado.
- CVE-2023-21548, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en Windows Secure Socket Tunneling Protocol (SSTP). Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Algunos de los productos afectados son:
- .NET Core
- 3D Builder
- Azure Service Fabric Container
- Microsoft Bluetooth Driver
- Microsoft Exchange Server
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en la siguiente guía:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-enero-2023
- https://thehackernews.com/2023/01/microsoft-issues-january-2023-patch.html
- https://nvd.nist.gov/vuln/detail/CVE-2023-21674
- https://nvd.nist.gov/vuln/detail/CVE-2023-21549
- https://nvd.nist.gov/vuln/detail/CVE-2023-21548
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21674
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21549
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21548
- https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan
- https://msrc.microsoft.com/update-guide