La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado una falla de seguridad recientemente parcheada en los productos .NET y Visual Studio de Microsoft a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Rastreado como CVE-2023-38180 (puntuación CVSS: 7.5), la falla de gravedad alta se relaciona con un caso de denegación de servicio (DoS) que afecta a .NET y Visual Studio.
Microsoft lo abordó como parte de sus actualizaciones de Patch Tuesday de agosto de 2023 enviadas a principios de la anterior semana, etiquetándolas con una evaluación de “Explotación más probable”.
Si bien los detalles exactos que rodean la naturaleza de la explotación no están claros, el fabricante de Windows ha reconocido la existencia de una prueba de concepto (PoC) en su aviso. También dijo que los ataques que aprovechan la falla se pueden realizar sin ningún privilegio adicional o interacción del usuario.
“El código de explotación de prueba de concepto está disponible, o una demostración de ataque no es práctica para la mayoría de los sistemas”, dijo la compañía. “El código o la técnica no es funcional en todas las situaciones y puede requerir una modificación sustancial por parte de un atacante experto”.
Las versiones afectadas del software incluyen ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 versión 17.2, Microsoft Visual Studio 2022 versión 17.4 y Microsoft Visual Studio 2022 versión 17.6.
Para mitigar los riesgos potenciales, CISA ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen correcciones proporcionadas por el proveedor para la vulnerabilidad antes del 30 de agosto de 2023.
