Las primeras correcciones de Patch Tuesday enviadas por Microsoft para 2023 han abordado un total de 98 fallas de seguridad, incluido un error que, según la compañía, se está explotando activamente en la naturaleza.
11 de los 98 problemas están clasificados como críticos y 87 están clasificados como importantes en gravedad, con una de las vulnerabilidades también enumerada como conocida públicamente en el momento del lanzamiento. Por separado, se espera que el fabricante de Windows lance actualizaciones para su navegador Edge basado en Chromium.
La vulnerabilidad que está bajo ataque se relaciona con CVE-2023-21674 (puntuación CVSS: 8.8), una falla de escalada de privilegios en Windows Advanced Local Procedure Call (ALPC) que podría ser explotada por un atacante para obtener permisos SYSTEM.
“Esta vulnerabilidad podría conducir a un escape de sandbox del navegador”, señaló Microsoft en un aviso, acreditando a los investigadores de Avast Jan Vojtěšek, Milánek y Przemek Gmerek por informar del error.
Si bien los detalles de la vulnerabilidad aún están en secreto, un exploit exitoso requiere que un atacante ya haya obtenido una infección inicial en el host. También es probable que la falla se combine con un error presente en el navegador web para salir de la caja de arena y obtener privilegios elevados.
“Una vez que se haya establecido el punto de apoyo inicial, los atacantes buscarán moverse a través de una red u obtener niveles adicionales más altos de acceso y este tipo de vulnerabilidades de escalada de privilegios son una parte clave de ese libro de jugadas del atacante”, dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs.
Dicho esto, las posibilidades de que una cadena de exploits como esta se emplee de manera generalizada son limitadas debido a la función de actualización automática utilizada para parchear los navegadores, dijo Satnam Narang, ingeniero senior de investigación de Tenable.
También vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), instando a las agencias federales a aplicar parches antes del 31 de enero de 2023.
Además, CVE-2023-21674 es la cuarta falla de este tipo identificada en ALPC, una instalación de comunicación entre procesos (IPC) proporcionada por el kernel de Microsoft Windows, después de CVE-2022-41045, CVE-2022-41093 y CVE-2022-41100 (puntuaciones CVSS: 7.8), las últimas tres de las cuales se conectaron en noviembre de 2022.
Otras dos vulnerabilidades de escalada de privilegios identificadas como de alta prioridad afectan a Microsoft Exchange Server (CVE-2023-21763 y CVE-2023-21764, puntuaciones CVSS: 7.8), que se derivan de un parche incompleto para CVE-2022-41123, según Qualys.
“Un atacante podría ejecutar código con privilegios a nivel de sistema explotando una ruta de archivo codificada”, dijo Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas de Qualys, en un comunicado.
Microsoft también resolvió una omisión de características de seguridad en SharePoint Server (CVE-2023-21743, puntuación CVSS: 5.3) que podría permitir a un atacante no autenticado eludir la autenticación y establecer una conexión anónima. El gigante tecnológico señaló que “los clientes también deben desencadenar una acción de actualización de SharePoint incluida en esta actualización para proteger su granja de SharePoint”.
La actualización de enero corrige además una serie de errores de escalada de privilegios, incluido uno en el Administrador de credenciales de Windows (CVE-2023-21726, puntuación CVSS: 7.8) y tres que afectan al componente Cola de impresión (CVE-2023-21678, CVE-2023-21760 y CVE-2023-21765).
La Agencia de Seguridad Nacional de los Estados Unidos (NSA) ha sido acreditada con el informe CVE-2023-21678. En total, 39 de las vulnerabilidades que Microsoft cerró en su última actualización permiten la elevación de privilegios.
Completan la lista CVE-2023-21549 (puntuación CVSS: 8,8), una vulnerabilidad de elevación de privilegios conocida públicamente en el servicio testigo SMB de Windows y otra instancia de omisión de características de seguridad que afecta a BitLocker (CVE-2023-21563, puntuación CVSS: 6,8).
“Un atacante exitoso podría omitir la función de cifrado de dispositivos BitLocker en el dispositivo de almacenamiento del sistema”, dijo Microsoft. “Un atacante con acceso físico al objetivo podría explotar esta vulnerabilidad para obtener acceso a datos cifrados”.
Por último, Redmond ha revisado su guía con respecto al uso malicioso de controladores firmados (llamada Bring Your Own Vulnerable Driver) para incluir una lista de bloqueo actualizada publicada como parte de las actualizaciones de seguridad de Windows el 10 de enero de 2023.
CISA también agregó el martes CVE-2022-41080, una falla de escalada de privilegios de Exchange Server, al catálogo KEV luego de los informes de que la vulnerabilidad se está encadenando junto con CVE-2022-41082 para lograr la ejecución remota de código en sistemas vulnerables.
El exploit, cuyo nombre en código es OWASSRF por CrowdStrike, ha sido aprovechado por los actores de ransomware Play para violar los entornos objetivo. Los defectos fueron corregidos por Microsoft en noviembre de 2022.
Las actualizaciones de Patch Tuesday también llegan cuando Windows 7, Windows 8.1 y Windows RT alcanzaron el final del soporte el 10 de enero de 2023. Microsoft dijo que no ofrecerá un programa de actualización de seguridad extendida (ESU) para Windows 8.1, sino que instará a los usuarios a actualizar a Windows 11.
“Continuar usando Windows 8.1 después del 10 de enero de 2023 puede aumentar la exposición de una organización a los riesgos de seguridad o afectar su capacidad para cumplir con las obligaciones de cumplimiento”, advirtió la compañía.
Parches de software de otros proveedores
Además de Microsoft, las actualizaciones de seguridad también han sido lanzadas por otros proveedores desde principios de mes para rectificar varias vulnerabilidades, incluyendo:
