La perspectiva de Akamai sobre el Patch Tuesday de febrero de 2023
Son las parche en punto y Microsoft nos colma de regalos, con parches para aproximadamente 80 CVE, nueve de ellas críticas y cinco con una puntuación CVSS alta de 9,8. Se afirma que tres de los parches para CVE también han sido utilizados en el mundo real, calificándolos como parches de día cero.
Como hacemos cada mes, en el grupo de inteligencia sobre seguridad de Akamai, hemos querido analizar las vulnerabilidades más interesantes para las que se han aplicado parches.
Nota: Hay un problema con el parche de este mes y Windows Server 2022 VM con arranque seguro ejecutado en VMware ESXi versión 7.0.x e inferiores. Es posible que no se inicien después de instalar KB5022842..
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados y proporcionaremos una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades explotadas en el mundo real
CVE-2023-21823
Empezaremos con la vulnerabilidad de ejecución remota de código (RCE) en el componente gráfico de Windows. Aunque la vulnerabilidad se debe a la explotación remota, el vector de ataque aparece como local. significa probablemente que se trata más bien de una vulnerabilidad de ejecución de código arbitrario (ACE), que requiere que el usuario interactúe con un archivo descargado.
Curiosamente, esta CVE también afecta a Microsoft Office, incluyendo las versiones de iOS y Android. Así, la actualización no sólo se administra a través de Windows Update, sino también a través de Microsoft Store, Google Play y App Store. Si has desactivado las actualizaciones automáticas en cualquiera de las tres, recuerda activar las actualizaciones en tus dispositivos.
CVE-2023-21715
Se trata de una vulnerabilidad de omisión de seguridad en Microsoft Publisher. En concreto, tiene relación con la "Marca de la Web" (MOTW). Normalmente, los archivos descargados de Internet se marcan internamente, de manera que el sistema operativo o los programas saben que no confían en ellos y los ejecutan (a ellos o a los macros que contienen) automáticamente. En concreto, Microsoft Publisher no gestionaba MOTW y permitía la ejecución de macros en archivos descargados de Internet. Este problema se ha solucionado con esta CVE. Haifei Li, investigador de seguridad, ha escrito un análisis más detallado en Twitter.
CVE-2023-23376
Se trata de una vulnerabilidad de escalada de privilegios en el controlador del Sistema de archivos de registro común de Windows que permite a los atacantes obtener privilegios de SISTEMA. No hay más información disponible actualmente.
Protocolo de autenticación extensible protegido de Microsoft
El Protocolo de autenticación extensible protegido (PEAP) es un protocolo que encapsula el Protocolo de autenticación extensible (EAP) dentro de una sesión TLS. El EAP se utiliza para autenticar dispositivos y conexiones a redes, así como en la autenticación de redes Wi-Fi.
Los servidores de Windows pueden configurarse con una función opcional denominada Servidor de directivas de redes (NPS). El NPS se puede utilizar para autenticar y permitir solicitudes de conexión de red con EAP y PEAP. Esta opción no está activada de forma predeterminada: la función NPS debe instalarse y configurarse manualmente. Según nuestras observaciones, solo el 21 % de las redes tienen servidores NPS.
Dado que se supone que el NPS es fundamental para la red y que también procesa las solicitudes de autenticación, puede resultar problemático aplicar políticas de segmentación en él. En su lugar, Microsoft afirma que una posible mitigación podría ser no permitir el PEAP en las negociaciones de protocolo y proporcionar dos fuentes en su implementación.
Este mes hay seis CVE en total. Tres son RCE críticas (con una puntuación de 9,8) y tres CVE importantes (con una puntuación de 7,5): una RCE, una DoS y una CVE de omisión de información.
Número de CVE |
Gravedad |
Puntuación base |
Efecto |
|---|---|---|---|
Crítica |
9,8 |
Ejecución remota de código |
|
Importante |
7,5 |
||
Denegación de servicio |
|||
Divulgación de información |
iSCSI de Windows
El iSCSI es un protocolo que se utiliza para conectarse a dispositivos de almacenamiento SCSI. En Windows las máquinas tienen el proceso Iniciador iSCI y el Servicio iniciador iSCI de Microsoft. Ninguno de los dos se ejecuta de forma predeterminada: ambos se deben ejecutar y configurar manualmente. Según nuestras observaciones, solo el 3 % de las redes tienen máquinas con Windows iSCSI en ejecución.
Este mes hay una RCE crítica y tres CVE de DoS. Aunque no se menciona explícitamente, suponemos que las CVE se refieren al Servicio iniciador iSCSI de Microsoft. Además, se afirma que la RCE solo funciona en máquinas de 32 bits.
P: Mis máquinas están ocupadas enviando tarjetas electrónicas de San Valentín con animales monísimos, así que no es posible aplicarles parches ni reiniciarlas. ¿Puedo protegerlas de alguna manera mientras tanto?
Afortunadamente, el servicio iSCSI no se ejecuta de forma predeterminada. Por lo tanto, debería ser posible mapear las máquinas que lo estén ejecutando y crear políticas de segmentación para ellas. No debería haber tantas conexiones entrantes al servicio iSCSI, por lo que se debe utilizar la microsegmentación para restringir el acceso al servicio desde fuera de la máquina. Esta táctica debe darle algo de tiempo para liberar la máquina y aplicar los parches.
Para mapear las máquinas con iSCSI, puede buscar conexiones a través de los puertos TCP 860 y 3260 (los puertos iSCSI predeterminados). También puede buscar el servicio en sí: Servicio iniciador iSCSI de Microsoft.
Aquí tiene una consulta osquery para hacerlo:
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
Además, las preguntas frecuentes sobre las vulnerabilidades de RCE mencionan también que se consigue enviando una solicitud DHCP al servicio iSCSI. Si tiene visibilidad de la red, puede comprobar que las máquinas iSCSI reciben DHCP normalmente (puertos UDP 67,68), si no (o procede de un ámbito limitado) también puede aplicar la segmentación. Este sistema debería proporcionar una mitigación adicional antes de aplicar los parches.
Servidor Microsoft SQL
Hay tres CVE de RCE en SQL Server de Microsoft este mes. Dos de ellas (con una puntuación CVSS base de 8,8) son para la función opcional de SQL Data Quality Services (DQS). La tercera CVE tiene una puntuación CVSS de 7,8. A partir de nuestras observaciones, el 60 % de las redes tienen servidores MSSQL y el 40 % también tienen instalados DQS.
Dado que los servidores SQL suelen contener información confidencial, deben segmentarse y tener restricciones de control de acceso para evitar incidentes de robo de datos. Si no tiene políticas de este tipo, es una buena oportunidad para ponerlas en práctica. Mapee los servidores MSSQL existentes (buscando el servicio MSSQL o buscando conexiones a través de los puertos 1433, 1434). Después de mapear los servidores existentes, cree políticas de segmentación basadas en el tráfico existente y otros segmentos que deberían tener acceso (de TI a todos, de finanzas a finanzas, etc.). También es una buena oportunidad para ver quién se porta mal y accede a bases de datos que no debería tocar.
Hay otras siete CVE relacionadas con SQL este mes en OLE y ODBC. Ya hemos hablado de ellas en ocasiones anteriores y nuestras recomendaciones no han cambiado (y las CVE también parecen similares). Obtenga más información sobre ellas en Servicios tratados anteriormente.
Controlador de impresora PostScript de Microsoft
PostScript es un lenguaje de programación que se utiliza para descripciones de diseños de página. Hay muchas impresoras que son compatibles (en su mayoría las de gama alta para uso en oficina/empresa, no las de uso doméstico).
El controlador de impresora PostScript es el componente del sistema de Windows (pscript5.dll) que sabe cómo comunicarse con impresoras a través de PostScript. Según nuestras observaciones, aproximadamente el 30 % de las redes tienen máquinas con el controlador de impresora PostScript.
Se sabe que los atacantes utilizan las impresoras durante las brechas de seguridad, así deje de imprimir tarjetas de San Valentín durante un rato para parchear o proteger de otro modo sus servidores de impresoras.
Número de CVE |
Vector de ataque |
Mitigación |
|---|---|---|
Un atacante autenticado puede enviar un archivo especialmente preparado a una impresora compartida, lo que provoca una RCE en el servidor de uso compartido. |
Ponga restricciones a las impresoras compartidas o segmente los servidores de uso compartido de las impresoras para limitar el acceso no autorizado a ellas. Además, como el atacante debe autenticarse, los controles o comprobaciones de acceso de usuario también pueden alertar sobre comportamientos anómalos. |
|
El vector de ataque aparece como local y como una ACE. Esta circunstancia significa normalmente que el usuario está abriendo algo que viene de Internet y que da como resultado la ejecución de código. En este caso, quizás sea la impresión de un documento preparado de forma maliciosa. |
Tener control sobre los archivos descargados o escáneres para los archivos de correo electrónico puede ayudar a reducir el riesgo. Además, esta CVE parece más adecuada para equipos de escritorio/usuario, que normalmente son más fáciles de parchear que los servidores críticos. |
|
Según las preguntas frecuentes, un usuario tiene que acceder a una impresora maliciosa y el resultado final es que se revela la memoria heap. |
Como las impresoras son algo a tener en cuenta, se debería poder añadir reglas de segmentación para evitar el acceso a impresoras "nuevas" y reducir así ese riesgo. |
Microsoft Word
Hay una CVE de RCE crítica (puntuación CVSS de 9,8) en Microsoft Word que afecta a los archivos RTF. (¿A quién no le gustan las flores rojas y con espinas el día de San Valentín?)
En este caso, los archivos RTF especialmente preparados pueden desencadenar la ejecución de comandos cuando Word los abre. Esta posibilidad también afecta al Panel de vista previa y a SharePoint. Afortunadamente, Microsoft ha proporcionado dos posibles mitigaciones:
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Ejecución remota de código |
Acceso a la red con un usuario autenticado con permisos de administración de listas |
||
Ejecución remota de código |
La víctima tiene que conectarse a un servidor SQL malicioso a través de OLEDB. |
||
Ejecución remota de código |
La víctima tiene que conectarse a un servidor SQL malicioso a través de ODBC. |
||
Ejecución remota de código |
Red; requiere autenticación |
||
Red; requiere que el atacante se autentique como administrador |
|||
Suplantación |
Acceso a la red y autenticación. El usuario también tendría que hacer clic en el enlace insertado. |
||
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.