Perspectiva de Akamai sobre el Patch Tuesday de diciembre de 2023
Este es el último Patch Tuesday del año, amigos, y Microsoft ya ha debido comenzar las vacaciones, porque solo se han aplicado parches para 33 CVE durante este mes. Sin embargo, Akamai no descansa, pues una CVE de uno de nuestros compañeros, Ben Barnea, forma parte del parche.
Como cada mes, el grupo de inteligencia sobre seguridad de Akamai ha analizado las vulnerabilidades más intrigantes a las que se han aplicado parches. De las 33 CVE con parches aplicados este mes, cuatro son críticas (pero solo tres pueden lograr la ejecución remota de código [RCE]), siendo la puntuación de CVSS más alta de 9,6. Este mes no se ha registrado ninguna CVE como divulgada ni explotada públicamente en el mundo real.
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Plataforma MSHTML de Windows
Se trata de una vulnerabilidad de RCE en el componente MSHTML, detectada por el investigador de Akamai Ben Barnea.
MSHTML es un cargador de sitios web para el sistema operativo Windows. Este expone una interfaz de Modelo de objetos componentes (COM) que permite que los programas añadan funciones de carga web. Se utiliza en Internet Explorer, el modo de Internet Explorer de Microsoft Edge, Microsoft Outlook y otros programas.
Como se menciona en el aviso de Microsoft, esta vulnerabilidad se puede utilizar contra clientes de Outlook y se puede activar antes de que se visualice el correo electrónico. Esta vulnerabilidad es una vulnerabilidad de corrupción de memoria fácil de activar, pero su explotación es compleja.
Compartiremos más detalles técnicos, incluida información sobre un vector adicional (distinto del correo electrónico) que activa esta vulnerabilidad, en las próximas semanas.
Microsoft Edge (basado en Chromium)
Microsoft Edge es un navegador web multiplataforma propietario. Aunque inicialmente se desarrolló utilizando herramientas propias, Microsoft trasladó completamente el navegador para utilizar el proyecto de código abierto Chromium de Google en 2020.
Hay tres CVE relacionadas con Microsoft Edge este mes: dos vulnerabilidades de divulgación de información de baja gravedad, CVE-2023-38174 y CVE-2023-36880, y una vulnerabilidad de escalada de privilegios (EoP) de gravedad moderada, CVE-2023-35618. Todas las vulnerabilidades requieren que el atacante engañe al usuario para que visite un sitio web o abra un enlace; es decir, para que caiga en ataques de phishing.
Curiosamente, aunque la vulnerabilidad de EoP se clasifica como de gravedad moderada, su puntuación de CVSS es muy alta: 9,6. La razón de esta disparidad es la complejidad necesaria para activar la vulnerabilidad. Según Microsoft: Para activar la vulnerabilidad, el atacante debe engañar al usuario para que abra una página web o un servidor que aloje contenido especialmente diseñado y, a continuación, engañarle para que abra un archivo especialmente diseñado. Este proceso de varios pasos redujo la gravedad de acuerdo con las directrices del programa de recompensas de Microsoft.
Microsoft Edge se suministra de forma predeterminada con el sistema operativo Windows. Según nuestras observaciones, es el navegador más utilizado en las redes empresariales (se utiliza en el 52 % de los equipos que ejecutan un navegador.
Conector de Microsoft Power Platform
Microsoft Power Platform es un conjunto de herramientas y productos que ayudan con la inteligencia empresarial y el desarrollo de aplicaciones. Un conector es un proxy o un envoltorio de API que permite que un servicio subyacente se comunique con los productos de Power Platform.
Solo hay una CVE crítica este mes, CVE-2023-36019, con una puntuación base de 9,6. Esta CVE permite a los atacantes manipular enlaces, aplicaciones o archivos para engañar a los usuarios de modo que crean que están interactuando con una aplicación legítima. Dado que en las notas del parche se mencionan conectores personalizados (conectores que usted mismo crea cuando no hay opciones disponibles de Microsoft), asumimos que ahí es donde reside la vulnerabilidad. Las notas del parche también mencionan que los conectores personalizados deben actualizarse para recibir un URI de redirección por conector.
Nuestra hipótesis es que los conectores pudieron compartir sus URI de redirección, lo que permitió a los atacantes falsificar conectores u objetivos para engañar a los usuarios para que se conectaran al lugar equivocado.
Microsoft informó de que se puso en contacto con los clientes afectados a través del Centro de administración de Microsoft 365 o a través de Service Health en Azure Portal.
Conexión compartida a Internet
Conexión compartida a Internet (ICS) es un servicio de Windows que permite que un equipo conectado a Internet comparta su conexión a Internet con otros equipos de la red local. El equipo que ejecuta el servicio ICS proporcionará el Protocolo de configuración dinámica de host (DHCP) y los servicios de traducción de direcciones de red (NAT) para los equipos adyacentes que los utilicen.
Este mes hay tres CVE, dos vulnerabilidades críticas de RCE con una puntuación de CVSS de 8,8 y otra vulnerabilidad de denegación de servicio (CVE-2023-35642) con una puntuación de CVSS de 6,5 y de gravedad importante.
Ambas vulnerabilidades críticas se encuentran en la parte del DHCP del servicio ICS. CVE-2023-35641 requiere que el atacante envíe un paquete DHCP especialmente diseñado para lograr la RCE.
CVE-2023-35630 requiere que el atacante modifique un campo de longitud de opción en un mensaje de entrada DHCPv6: DHCPV6_MESSAGE_INFORMATION_REQUEST. Ambas vulnerabilidades permiten que los atacantes logren la RCE en el equipo del servicio ICS.
La ICS está disponible de forma predeterminada en las instalaciones modernas de Windows (estaciones de trabajo y servidores) y normalmente se establece como inicio de activación, es decir, se iniciaría después de una conexión RPC a la interfaz de servidor RPC IP NAT Helper.
Puede utilizar la siguiente consulta en la función Insight de Guardicore Segmentation de Akamai para buscar el servicio ICS y su estado:
SELECT status, start_type FROM services WHERE name='SharedAccess'
Según nuestras observaciones, el 27 % de los entornos tenían un servicio ICS en ejecución en algunos de sus equipos. Normalmente, menos del 1 % de los equipos ejecutaban el servicio ICS en una única red.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Denegación de servicio |
Red |
||
Denegación de servicio |
Red |
||
Divulgación de información |
|||
Ejecución remota de código |
Red |
||
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.
