Cada segundo martes de cada mes, Microsoft lanza actualizaciones de seguridad relacionadas con la corrección de vulnerabilidades que afectan a sus productos, en esta ocasión entre las vulnerabilidades subsanadas hay algunas que permitirían a un atacante realizar ejecución remota de código (RCE), escalamiento de privilegios, omisión de autenticación, entre otros.
Las vulnerabilidades reportadas se componen de un total de 132. Las principales Zero Day se detallan a continuación:
- CVE-2023-32049, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad Zero Day se debe a una falla de seguridad en Windows SmartScreen Security. Esto permitiría a un atacante a través de una URL especialmente diseñada y accedida por el usuario, realizar omisión de autenticación evadiendo el mensaje “Open File – Security Warning”.
- CVE-2023-32046, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad Zero Day se debe a una falla de seguridad en Windows MSHTML Platform. Esto permitiría a un atacante a través de un archivo especialmente diseñado enviado al correo electrónico o alojado en sitios web maliciosos, una vez abierto por la víctima obtener escalamiento de privilegios al usuario que ejecuta la aplicación afectada.
- CVE-2023-36874, de severidad “Alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad Zero Day se debe a una falla de seguridad en Windows Error Reporting Service. Esto permitiría a un atacante local con acceso al equipo de destino y al usuario de la víctima con permisos para crear carpetas y realizar seguimientos de rendimiento en el equipo afectado obtener privilegios de administrador en el mismo.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Algunos de los productos afectados son:
- Windows Server 2016 y 2019 (Server Core installation).
- Microsoft Server 2016, 2019 y 2022.
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en la siguiente guía:
Adicionalmente, para la vulnerabilidad CVE-2023-36874 se debe seguir los siguientes pasos de mitigación:
- Se debe utilizar la regla de reducción de superficie de ataque: Bloquear todas las aplicaciones de Office para que no creen procesos secundarios evitará que se explote la vulnerabilidad.
- Se debe establecer la clave de registro “FEATURE_BLOCK_CROSS _PROTOCOL_FILE_NAVIGATION” para evitar la explotación. Tener en cuenta que, si bien esta configuración del Registro mitigaría la explotación de este problema, podría afectar a la funcionalidad normal de ciertos casos de uso relacionados con estas aplicaciones. Para ello, es necesario agregar a esta clave del Registro los siguientes nombres de aplicación como valores de tipo REG_DWORD con datos con valor igual a 1:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
- Excel.exe
- Gráfico.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Referencias:
- https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2023-patch-tuesday-warns-of-6-zero-days-132-flaws/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32049
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32046
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874
- https://nvd.nist.gov/vuln/detail/CVE-2023-32049
- https://nvd.nist.gov/vuln/detail/CVE-2023-32046
- https://nvd.nist.gov/vuln/detail/CVE-2023-36874
- https://msrc.microsoft.com/update-guide/vulnerability
- https://msrc.microsoft.com/update-guide