La perspectiva de Akamai sobre el Patch Tuesday de enero de 2023
El Patch Tuesday de enero de 2023 de Microsoft se ha publicadoy en Investigación sobre seguridad de Akamai hemos querido analizar las vulnerabilidades más intrigantes a las que se han aplicado los parches. Parece que Microsoft entró en el nuevo año con un vigor renovado, ya que hay casi el doble de vulnerabilidades y exposiciones comunes (CVE) reparadas este mes que en diciembre. Akamai Security Research también entró en el año con fuerza; hemos revelado dos de las vulnerabilidades reparadas este mes: consulte una breve descripción de ellas a continuación.
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados y proporcionaremos una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Además de las vulnerabilidades de seguridad reveladas por Akamai, en este informe nos centramos en las siguientes áreas en las que se han aplicado parches a los errores:
Vulnerabilidades de seguridad reveladas por Akamai
Las dos vulnerabilidades siguientes se divulgaron de forma responsable a Microsoft y se corrigieron en el parche de este mes. Proporcionaremos más detalles sobre esas vulnerabilidades una vez que haya pasado más tiempo, para dar a todos la oportunidad de aplicar parches a sus sistemas. Por ahora, podemos dar una breve descripción.
EoP remoto de servicio de testigo de pymes
CVE-2023-21549, puntuación CVSS 8,8
Esta es otra vulnerabilidad que se encuentra a través de nuestro kit de herramientas de RPC. El protocolo de testigo de servicio de pymes se utiliza como parte de los servidores de archivos de pymes agrupados en clúster.
EoP local de LSM
CVE-2023-21771, puntuación CVSS 7,0
Esta es otra vulnerabilidad en una de las interfaces RPC de LSM. La vulnerabilidad solo se puede desencadenar localmente y su explotación requiere ganar una condición de carrera que se logre fácilmente.
Como la función vulnerable no existe en todas las versiones de Windows, solo son vulnerables las siguientes versiones:
Windows Server 2022
Windows 10 versiones 21H2 y 22H2
Windows 11 versiones 21H2 y 22H2
Protocolo de túnel de capa 2 de Windows
El protocolo de túnel de capa 2 (L2TP) es un protocolo de túnel que se utiliza para admitir VPN. En Windows, forma parte del servidor de acceso remoto (RAS), de forma similar a SSTP y PPP (que se trataron en meses anteriores). El acceso remoto es una función de Windows Server que permite que los clientes remotos se conecten a la LAN, de forma similar a una VPN. Es necesario añadir activamente la función de servidor.
Hay cinco vulnerabilidades críticas en este servicio este mes, todas con una puntuación CVSS de 8,1 y permiten la ejecución remota de código.
Cuatro de las vulnerabilidades (CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 y CVE-2023-21556) requieren que el atacante gane una condición de carrera para desencadenarlas. La otra CVE, CVE-2023-21543, no requiere una condición de carrera según el Centro de respuestas de seguridad de Microsoft (MSRC), pero requiere que el atacante realice pasos adicionales antes de la explotación.
No podemos tener tiempo de inactividad en nuestro servidor VPN. ¿Podemos realizar algún tipo de mitigación que no sea la aplicación de parches?
Puesto que L2TP se utiliza para admitir servidores VPN, es prácticamente imposible restringir el acceso a Internet. Por lo tanto, no hay muchas opciones de mitigación disponibles más allá de la aplicación de parches. Si sabe que no tiene trabajadores en ciertas partes del mundo (por ejemplo, todos sus empleados están en los Estados Unidos), puede restringir el acceso desde ciertas geoubicaciones basadas en la geoip, pero esa tarea también es muy difícil de contener.
Como alternativa, dado que todas las CVE requieren condiciones de carrera o pasos adicionales, es seguro suponer que su explotación provocará un pico en la actividad de la red. La supervisión de la actividad de la red puede generar alertas sobre posibles intentos de explotación.
Protocolo ligero de acceso a directorios de Windows
El protocolo ligero de acceso a directorios de Windows (LDAP) es un protocolo de código abierto diseñado para conectar y consultar servicios de directorio y bases de datos. El controlador de dominio de Active Directory tiene una implementación de servidor LDAP para permitir que los programas y servidores existentes que dependen de LDAP utilicen el AD existente sin necesidad de un servidor independiente.
Este mes, hay dos vulnerabilidades en el servicio LDAP que afectan a los controladores de dominio sin parches. CVE-2023-21557 es una vulnerabilidad de denegación de servicio (DoS) que se puede realizar antes de la autenticación. El aviso del MSRC también establece que explotar con éxito la vulnerabilidad también podría dar lugar a una revelación de información, pero no especifica qué datos se filtran. CVE-2023-21676 es una vulnerabilidad de ejecución remota de código, aunque requiere autenticación previa.
No podemos aplicar parches a nuestro controlador de dominio y arriesgamos a sufrir tiempo de inactividad. ¿Se pueden mitigar las vulnerabilidades en otro lugar?
En realidad no. Puesto que el controlador de dominio es integral a todas las partes del dominio, es prácticamente imposible restringir el acceso a él sin comprometer las operaciones normales de red. Dado que CVE-2023-21676 requiere un usuario autenticado, puede ayudar a los equipos de respuesta a incidentes a realizar su seguimiento (pero no ayudará realmente con la prevención).
Servicios criptográficos de Microsoft
El nombre Servicios criptográficos es un poco críptico, ya que hay muchas partes del sistema operativo a las que puede referirse. (Debería referirse sólo a uno, CryptSvc, el servicio criptográfico literal, pero su archivo no fue reparado.) Solo hay una CVE que indica qué parte del sistema está afectada: CVE-2023-21561 con CSRSS.
Hay seis CVE este mes, tres para la elevación local de privilegios y tres para la divulgación local de información. Estas vulnerabilidades afectan a todos los equipos Windows, ya sean servidores o escritorios, por lo que la aplicación de parches es primordial.
Número de CVE |
Efecto |
|---|---|
| CVE-2023-21561 | Elevación de privilegios desde AppContainer hasta el SISTEMA |
| CVE-2023-21730 | Elevación de privilegios hasta el SISTEMA |
| CVE-2023-21551 | |
| CVE-2023-21559 | Divulgación de secretos criptográficos de Windows |
| CVE-2023-21540 | |
| CVE-2023-21550 |
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores.
Servicio |
Número de CVE |
Efecto |
Acceso necesario |
|---|---|---|---|
Omisión de autenticación |
Red |
||
Ejecución remota de código |
Autenticado al menos como miembro del sitio |
||
Autenticado con privilegios de creación de páginas |
|||
Ejecución remota de código |
Red |
||
Divulgación de información |
Red |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.
