Como hacemos cada mes, el grupo de inteligencia de seguridad de Akamai ha analizado las vulnerabilidades más interesantes a las que se han aplicado parches.

Este mes, se han publicado 73 CVE, así como 3 avisos. Es un poco más de la mitad de la cantidad que se publicó el mes pasado, lo cual es bueno, porque estamos en pleno campamento de verano de los hackers, y quién tiene tiempo para aplicar parches, ¿verdad? Hay seis CVE críticas en Microsoft Teams, Microsoft Message Queuing y Microsoft Outlook. También hay una vulnerabilidad de denegación de servicio (DoS), CVE-2023-38180, en .NET Core y Visual Studio, de la que se ha notificado que está explotada libremente, así como una CVE de nuestro investigador Ben Barnea.

En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:

Plataformas HTML de Windows (notificada por Akamai)
.NET Core y Visual Studio (explotada libremente)
Microsoft Message Queuing
Microsoft Exchange Server
Microsoft Teams

En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. También puede ver un breve resumen del parche en nuestra cuenta de Twitter. Esté atento a esta información los días posteriores a cada Patch Tuesday.

Este es un informe actualizado y puede que añadamos más información a medida que progrese nuestra investigación. Esté atento.

Consulte la investigación con más detalle

Vulnerabilidad notificada por un investigador de Akamai

CVE-2023-35384 — Plataformas HTML de Windows (CVSS 5.4)

A pesar de la baja gravedad asignada a esta vulnerabilidad, tiene unos antecedentes y unas consecuencias bastante interesantes. Ben Barnea la detectó durante su análisis del Patch Tuesday de mayo, y se solucionó este mes.

Inicialmente, Microsoft aplicó parches a la CVE-2023-2339‏7 , una vulnerabilidad crítica de escalada de privilegios (EoP) en Outlook que se había explotado libremente. Esta vulnerabilidad permitió a un atacante enviar a la víctima un correo electrónico, activar una conexión SMB a su propio servidor controlado por el atacante y, como resultado, interceptar (y posiblemente descifrar o retransmitir) credenciales NTLM. Se trataba de una vulnerabilidad sin clics que un atacante no autenticado podría aprovechar desde cualquier lugar de Internet.

La corrección de la vulnerabilidad CVE-2023-2339‏7 añadió una comprobación para clasificar una ruta como local, de la intranet, de Internet, etc. Esta comprobación se podría omitir proporcionando una ruta especialmente diseñada, como explicamos y demostramos en una anterior entrada de blog.

La vulnerabilidad de este mes, CVE-2023-35384 , es otra omisión de la corrección de Microsoft. ¿Muy confuso? Vamos por orden:

CVE-2023-2339‏7	Vulnerabilidad de EoP crítica original en Microsoft Outlook	Notificada por el equipo de respuesta ante emergencias informáticas (CERT) de Ucrania
CVE-2023-29324	Omisión de la corrección para la vulnerabilidad CVE-2023-2339‏7, con la aplicación del parche en mayo	Notificada por el investigador de Akamai, Ben Barnea
CVE-2023-35384	Otra omisión de la corrección para la vulnerabilidad CVE-2023-2339‏7, con la aplicación del parche este mes (agosto)	Notificada por el investigador de Akamai, Ben Barnea

Estamos planeando compartir los detalles de la vulnerabilidad CVE-2023-35384 y demostrar su explotación de una manera sorprendente, así que esté atento a la publicación.

Vulnerabilidad explotada libremente

CVE-2023-38180 — .NET Core y Visual Studio (CVSS 7.5)

Se trata de una vulnerabilidad de DoS, pero no hay notas, preguntas frecuentes ni confirmaciones publicadas con esta CVE. Por lo tanto, es casi imposible especular sobre su causa raíz. Sin embargo, dado que el vector de ataque es la red, tenemos algunas pistas. Exención de responsabilidad: El párrafo siguiente es puramente especulativo.

Según los resultados de nuestras pruebas en instancias instaladas localmente de Visual Studio, este CVE no parece estar escuchando conexiones entrantes (aunque vimos conexiones salientes de su proceso). Por lo tanto, es más probable que el vector de ataque no se consiga si los atacantes se dirigen directamente al proceso a través de la red, sino mediante el envío de un archivo de diseño malicioso a la víctima, que bloquea su instancia de Visual Studio y .NET Core.

Microsoft Message Queuing

Hay 11 vulnerabilidades en el servicio Microsoft Message Queuing (MSMQ) a las que se han aplicado parches este mes. Tres vulnerabilidades críticas de ejecución remota de código (RCE) con una puntuación de 9,8, seis vulnerabilidades de DoS y dos vulnerabilidades de divulgación de información.

El servicio MSMQ es una característica opcional en Windows que se utiliza para entregar mensajes entre diferentes aplicaciones. A pesar de ser opcional, muchas aplicaciones empresariales para Windows, como Microsoft Exchange Server, lo utilizan en segundo plano. En nuestras observaciones, encontramos el servicio instalado en casi el 69 % de los entornos, normalmente en más de un equipo.

Dado que el servicio MSMQ es accesible a través del puerto 1801, pero no debería haber tantos clientes con acceso a él (ya que la propia aplicación empresarial lo utiliza principalmente), recomendamos restringir el acceso arbitrario a la red a ese puerto y servicio. Intente segmentarlo mediante políticas de lista de autorización, permitiendo el acceso solo a los equipos que realmente lo necesiten. Para obtener ayuda con la segmentación, puede consultar nuestra entrada de blog La segmentación (microsegmentación) desde una perspectiva práctica (específicamente, las secciones Acordonamiento de aplicaciones y Microsegmentación ).

Número de CVE	Efecto	Acceso requerido
CVE-2023-36910	Ejecución remota de código	Red
CVE-2023-36911
CVE-2023-35385
CVE-2023-36909	Denegación de servicio
CVE-2023-36912
CVE-2023-35376
CVE-2023-38254
CVE-2023-35377
CVE-2023-38172
CVE-2023-35383	Divulgación de información
CVE-2023-36913	Divulgación de información

Microsoft Exchange Server

Este mes había seis CVE en Microsoft Exchange Server: cuatro de ellas permiten la ejecución remota de código en el servidor remoto y las otras dos son vulnerabilidades de EoP o de suplantación. En nuestras observaciones, hemos visto que aproximadamente el 28 % de los entornos tenían servidores Microsoft Exchange Servers en las instalaciones.

La CVE de EoP, CVE-2023-21709, es en realidad la CVE con la puntuación del CVSS más alta (9,8) a pesar de estar categorizada como de gravedad "importante", no "crítica". Según Microsoft, la vulnerabilidad podría permitir a los atacantes robar la contraseña de un usuario de Exchange mediante la fuerza bruta e iniciar sesión como ese usuario. La asignación de gravedad "importante" se debe al hecho de que los ataques de fuerza bruta no deberían funcionar contra usuarios con contraseñas complejas.

Para esta CVE, la aplicación del parche no es suficiente. Microsoft proporciona un script adicional, CVE-2023-21709.ps1, que los administradores deben ejecutar después de instalar el parche. Como alternativa, funcionará el siguiente comando:

  Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"

Microsoft también menciona que la ejecución del script (o el comando anterior) puede solucionar la vulnerabilidad en lugar de la aplicación del parche, pero ellos (y nosotros) recomendamos encarecidamente la aplicación del parche lo antes posible.

Número de CVE	Efecto	Acceso requerido
CVE-2023-35368	Ejecución remota de código	Red
CVE-2023-38185		Red
CVE-2023-35388		Red adyacente
CVE-2023-38182		Red adyacente
CVE-2023-21709	Escalada de privilegios	Red
CVE-2023-38181	Suplantación	Red

Microsoft Teams

Microsoft Teams es la plataforma de comunicación, mensajería y videoconferencia patentada de Microsoft, y forma parte de Microsoft 365. Este mes, hay dos CVE críticas de ejecución remota de código en Teams. Ambas CVE requieren que el usuario se una de forma activa a una reunión de diseño malicioso creada por el atacante. Los atacantes podrían entonces ejecutar código de forma remota en el contexto del usuario víctima.

En nuestras observaciones, el 44 % de los entornos tenían Microsoft Teams en ejecución.

Número de CVE	Efecto	Acceso requerido
CVE-2023-29328	Ejecución remota de código	Red
CVE-2023-29330	Ejecución remota de código	Red

Servicios tratados anteriormente

Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.

Servicio	Número de CVE	Efecto	Acceso requerido
Servidor de Microsoft SharePoint	CVE-2023-36891	Suplantación	Red
	CVE-2023-36892	Suplantación
	CVE-2023-36890	Divulgación de información
	CVE-2023-36894	Divulgación de información
Protocolo ligero de acceso a directorios (LDAP) de Windows	CVE-2023-38184	Ejecución remota de código	Red
Microsoft Office	CVE-2023-35371	Ejecución de código arbitrario	Local
Servicios criptográficos de Windows	CVE-2023-36906	Divulgación de información	Local
Servicios criptográficos de Windows	CVE-2023-36907	Divulgación de información	Local

Síganos en Twitter

escrito por

Akamai Security Intelligence Group

August 09, 2023

escrito por

Akamai Security Intelligence Group

Entradas de blog relacionadas

Stiv Kupchik, investigador de Akamai, descubrió una nueva vulnerabilidad de escalada de privilegios (EoP) en el cliente Remote Registry de Microsoft.

Llamada y registro: ataque de retransmisión en el cliente de RPC de Winreg

October 19, 2024

Los investigadores de Akamai analizan una nueva vulnerabilidad que se puede aprovechar para provocar ataques de escalada de privilegios contra equipos Windows.

por Stiv Kupchik

Más información

Este desmantelamiento es un gran avance hacia la creación de un Internet más seguro.

Desmantelamiento de Anonymous Sudan: el papel de Akamai

October 16, 2024

El Departamento de Justicia anunció la eliminación de Anonymous Sudan. Descubra cómo Akamai colaboró en esta iniciativa.

por Akamai SIRT

Más información

Este mes, hay 117 CVE en total en 60 componentes diferentes. De ellas, tres son críticas.

La perspectiva de Akamai sobre el Patch Tuesday de octubre de 2024

October 11, 2024

Son un montón de CVE, pero no se asuste; deje eso para Halloween. Este mes, se han reportado 117 CVE y 2 vulnerabilidades que se explotaron en su entorno natural.

por Akamai Security Intelligence Group

Más información

Productos

Cloud computing

Cloud computing

Seguridad

Seguridad

Seguridad de aplicaciones y API

Seguridad Zero Trust

Protección contra el fraude y el abuso

SEGURIDAD DE LA INFRAESTRUCTURA

Distribución de contenido

Distribución de contenido

RENDIMIENTO DE APLICACIONES

DISTRIBUCIÓN DE CONTENIDO MULTIMEDIA

APLICACIONES DEL EDGE

SUPERVISIÓN, GENERACIÓN DE INFORMES Y PRUEBAS

Soluciones

Casos de uso

CLOUD COMPUTING

SEGURIDAD

DISTRIBUCIÓN DE CONTENIDO

Soluciones del sector

¿Por qué Akamai?

Recursos

Biblioteca

Biblioteca

Descubra

Investigaciones sobre seguridad

Partners

Buscar un partner

Conviértase en partner

Contacto

Perspectiva de Akamai sobre el Patch Tuesday de agosto de 2023

Vulnerabilidad notificada por un investigador de Akamai

CVE-2023-35384 — Plataformas HTML de Windows (CVSS 5.4)

Vulnerabilidad explotada libremente

CVE-2023-38180 — .NET Core y Visual Studio (CVSS 7.5)

Microsoft Message Queuing

Microsoft Exchange Server

Microsoft Teams

Servicios tratados anteriormente

Entradas de blog relacionadas

Llamada y registro: ataque de retransmisión en el cliente de RPC de Winreg

Desmantelamiento de Anonymous Sudan: el papel de Akamai

La perspectiva de Akamai sobre el Patch Tuesday de octubre de 2024

Productos

empresa

Empleo

sala de prensa

Normativa y cumplimiento

Glosario