Microsoft ha publicado parches para abordar 63 errores de seguridad en su software para el mes de noviembre de 2023, incluidas tres vulnerabilidades que han sido objeto de explotación activa en la naturaleza.
De los 63 errores, tres están clasificados como críticos, 56 como importantes y cuatro como moderados en cuestiones de gravedad. Dos de ellos han sido catalogados como de conocimiento público en el momento de la publicación.
Las actualizaciones se suman a las más de 35 deficiencias de seguridad abordadas en su navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones de Patch Tuesday para octubre de 2023.
Los cinco zero-day que son de destacar son los siguientes:
- CVE-2023-36025 (puntuación CVSS: 8,8) – Vulnerabilidad de omisión de la característica de seguridad SmartScreen de Windows
- CVE-2023-36033 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de la biblioteca principal de Windows DWM
- CVE-2023-36036 (puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del controlador de minifiltro de archivos en la nube de Windows
- CVE-2023-36038 (puntuación CVSS: 8,2) – Vulnerabilidad de denegación de servicio principal ASP.NET
- CVE-2023-36413 (puntuación CVSS: 6,5) – Vulnerabilidad de omisión de características de seguridad de Microsoft Office
Tanto CVE-2023-36033 como CVE-2023-36036 podrían ser explotados por un atacante para obtener privilegios de SISTEMA, mientras que CVE-2023-36025 podría hacer posible eludir las comprobaciones de SmartScreen de Windows Defender y sus avisos asociados.
“El usuario tendría que hacer clic en un acceso directo de Internet especialmente diseñado (.URL) o un hipervínculo que apunta a un archivo de acceso directo de Internet que el atacante va a comprometer”, dijo Microsoft sobre CVE-2023-36025.
CVE-2023-36025 es la tercera vulnerabilidad de zero-day de Windows SmartScreen explotada en la naturaleza en 2023 y la cuarta en los últimos dos años. En diciembre de 2022, Microsoft parcheó CVE-2022-44698 (puntuación CVSS: 5,4), mientras que CVE-2023-24880 (puntuación CVSS: 5,1) se parcheó en marzo y CVE-2023-32049 (puntuación CVSS: 8,8) se parcheó en julio.
El fabricante de Windows, sin embargo, no ha proporcionado ninguna orientación adicional sobre los mecanismos de ataque empleados y los actores de amenazas que pueden estar convirtiéndolos en armas. Pero la explotación activa de las fallas de escalada de privilegios sugiere que es probable que se usen junto con un error de ejecución remota de código.
“Ha habido 12 vulnerabilidades de elevación de privilegios en la biblioteca principal de DWM en los últimos dos años, aunque esta es la primera que se ha explotado en la naturaleza como un zero-day”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar los tres problemas a su catálogo de vulnerabilidades explotadas conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 5 de diciembre de 2023.
Microsoft también ha parcheado dos fallos críticos de ejecución remota de código en el protocolo de autenticación extensible protegido y la multidifusión general pragmática (CVE-2023-36028 y CVE-2023-36397, puntuaciones CVSS: 9,8) que un actor de amenazas podría aprovechar para desencadenar la ejecución de código malicioso.
La actualización de noviembre incluye además un parche para CVE-2023-38545 (puntuación CVSS: 9,8), un error crítico de desbordamiento de búfer basado en pila en la biblioteca curl que salió a la luz el mes pasado, así como una vulnerabilidad de divulgación de información en la CLI de Azure (CVE-2023-36052, puntuación CVSS: 8,6).
“Un atacante que explotara con éxito esta vulnerabilidad podría recuperar contraseñas de texto plano y nombres de usuario de archivos de registro creados por los comandos CLI afectados y publicados por Azure DevOps y/o GitHub Actions”, dijo Microsoft.
El investigador de Palo Alto Networks, Aviad Hahami, quien informó sobre el problema, dijo que la vulnerabilidad podría permitir el acceso a las credenciales almacenadas en el registro de pipeline’s y permitir que un adversario aumente potencialmente sus privilegios para ataques posteriores.
En respuesta, Microsoft dijo que ha realizado cambios en varios comandos de la CLI de Azure para proteger la CLI de Azure (versión 2.54) contra el uso involuntario que podría conducir a la exposición de secretos.