Microsoft ha publicado sus actualizaciones Patch Tuesday para octubre de 2023, que abordan un total de 103 fallos en su software, dos de los cuales han sido objeto de explotación activa en la naturaleza.
De las 103 vulnerabilidades, 13 están clasificadas como críticas y 90 como importantes. Esto se suma a las 18 vulnerabilidades de seguridad abordadas en su navegador Edge basado en Chromium desde el segundo martes de septiembre.
Las dos vulnerabilidades que se han explotado como zero-days son las siguientes:
- CVE-2023-36563 (puntuación CVSS: 6,5): una vulnerabilidad de divulgación de información en Microsoft WordPad que podría provocar la fuga de hashes NTLM
- CVE-2023-41763 (puntuación CVSS: 5,3): una vulnerabilidad de escalada de privilegios en Skype Empresarial que podría provocar la exposición de información confidencial, como direcciones IP o números de puerto (o ambos), lo que permite a los actores de amenazas obtener acceso a las redes internas
“Para explotar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Un atacante podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado”, dijo Microsoft en un aviso para CVE-2023-36563.
“Además, un atacante podría convencer a un usuario local para que abra un archivo malicioso. El atacante tendría que convencer al usuario de que haga clic en un enlace, normalmente a través de una tentación en un correo electrónico o mensaje instantáneo, y luego convencerlo de que abra el archivo especialmente diseñado”.
Redmond también ha corregido docenas de fallos que afectan a Microsoft Message Queue Server (MSMQ) y al protocolo de túnel de capa 2 que podrían provocar la ejecución remota de código y la denegación de servicio (DoS).
La actualización de seguridad resuelve además un grave error de escalación de privilegios en Windows IIS Server (CVE-2023-36434, puntuación CVSS: 9,8) que podría permitir a un atacante suplantar e iniciar sesión como otro usuario a través de un ataque de fuerza bruta.
El gigante tecnológico también ha publicado una actualización para CVE-2023-44487, también conocido como ataque HTTP/2 Rapid Reset, que ha sido explotado por actores desconocidos como un día cero para organizar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
“Si bien este DDoS tiene el potencial de afectar la disponibilidad del servicio, por sí solo no conduce al compromiso de los datos de los clientes, y en este momento no hemos visto evidencia de que los datos de los clientes se vean comprometidos”, dijo.
Finalmente, Microsoft ha anunciado que Visual Basic Script (también conocido como VBScript), que a menudo se explota para la distribución de malware, está en desuso, y agrega: “en futuras versiones de Windows, VBScript estará disponible como una función bajo demanda antes de su eliminación del sistema operativo”.
