Perspectiva de Akamai sobre el Patch Tuesday de julio de 2023
Como hacemos cada mes, el grupo de inteligencia de seguridad de Akamai ha analizado las vulnerabilidades más interesantes a las que se han aplicado parches.
En esta ocasión, hay 130 CVE; 9 de ellas son críticas. Es casi el doble que el mes pasado. Cuatro de las CVE críticas (en RRAS y MSMQ) tienen una puntuación CVSS alta de 9,8. También hay cuatro vulnerabilidades notificadas como explotadas libremente.
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. También puede ver un breve resumen del parche en nuestra cuenta de Twitter. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades explotadas libremente
CVE-2023-32046 — Plataforma MSHTML de Windows (CVSS 7.8)
Esta vulnerabilidad de la plataforma MSHTML puede permitir que los atacantes obtengan los privilegios del usuario víctima del ataque. MSHTML es el motor del navegador de Microsoft, y las notas del parche mencionan que el usuario tiene que abrir un archivo especialmente diseñado, o navegar a un sitio web malicioso que alberga ese archivo, de modo que probablemente se trata de algún tipo de recurso web: un archivo HTML o JavaScript. Independientemente de esto, la vulnerabilidad requiere que los usuarios respondan a algún tipo de ingeniería social y abran el archivo malicioso. Hay dos CVE con parches más en MSHTML este mes (de las que no hay constancia de que estén explotadas libremente). Puede obtener más información sobre ellas a continuación en esta publicación.
CVE-2023-32049 — Windows SmartScreen (CVSS 8.8)
Se trata de una vulnerabilidad de omisión de seguridad, que ignora la advertencia de seguridad de SmartScreen al abrir archivos descargados de Internet o que no son seguros. No es la primera vez que los atacantes explotan activamente las vulnerabilidades de omisión de SmartScreen. Threat Analysis Group de Google (Google TAG) ha detectado y notificado que el ransomware Magniber utilizó una vulnerabilidad similar en el pasado.
CVE-2023-36874 — Windows Error Reporting Service (CVSS 7.8)
Se trata de una vulnerabilidad de elevación de privilegios que requiere que los atacantes ya tengan acceso local a la máquina. Según las notas, los atacantes tienen que poder crear carpetas y trazas de rendimiento en la máquina local, lo que requiere unos privilegios de usuario restringidos que no suelen estar disponibles. Esta CVE también la ha notificado Google TAG.
CVE-2023-35311 — Microsoft Outlook (CVSS 8.8)
Se trata de otra vulnerabilidad de omisión de seguridad, esta vez en Outlook. Esta vulnerabilidad permite que los atacantes ignoren el aviso de seguridad de Outlook al hacer clic en hipervínculos.
CVE-2023-36884 — HTML en Office y Windows (CVSS 8.3)
El 11 de julio, Microsoft publicó un aviso sobre una vulnerabilidad de ejecución remota de código que se está explotando libre y activamente. Esta vulnerabilidad afecta a varios productos de Microsoft y consiste en atraer a las víctimas para que abran documentos maliciosos.
La vulnerabilidad está siendo explotada por el atacante RomCom en campañas de phishing, como en una dirigida a los asistentes a la reciente cumbre de la OTAN en Lituania. La vulnerabilidad no tiene corrección de momento, pero sí que existen varias mitigaciones .
Controlador de red de puente de capa 2 de Windows
El controlador de red de puente de capa 2 forma parte del ecosistema de contenedores de Windows. Este controlador es responsable de la red L2bridge, que permite que los contenedores se conecten directamente a la red física del host. Hay dos vulnerabilidades en el controlador este mes: una vulnerabilidad de divulgación de información CVSS 6.5 (CVE-2023-32037) y una vulnerabilidad de ejecución remota de código CVSS 8.8 (CVE-2023-35315). Según las notas de la CVE, esta vulnerabilidad crítica permite que un invitado se introduzca en el host. Como el L2bridge permite que los contenedores o máquinas virtuales escriban directamente en el hardware físico que se comparte con el sistema operativo del host, una vulnerabilidad en el controlador permite que el código malicioso ignore el límite entre invitado y host.
El ecosistema de contenedores de Windows viene con una función opcional que se llama Contenedores. No está disponible de manera comercial y hay que instalarla a propósito. Hemos visto que aproximadamente el 35 % de los entornos supervisados tienen máquinas Windows con la función opcional Contenedores activada.
Plataforma MSHTML de Windows
MSHTML es un cargador de sitios web para el sistema operativo Windows. Expone una interfaz COM para permitir que los programas añadan funciones de carga web. También lo usan Internet Explorer y el modo de Internet Explorer de Microsoft Edge. Además de la vulnerabilidad de escalada de privilegios que se encuentra en circulación (consulte la sección de vulnerabilidades en circulación), hay dos vulnerabilidades de omisión de seguridad más: CVE-2023-35336 y CVE-2023-35308. Por lo que se dice en las notas sobre las dos vulnerabilidades, parece que MSHTML no consigue validar la zona de seguridad correctamente en URL específicas; por ejemplo, puede confundir una URL externa con una local. Las zonas de seguridad no son nuevas para nosotros, ya que incluso Ben Barnea encontró una vulnerabilidad similar en MapUrlToZone, que es la función que se suele usar para determinar si una URL es una ruta de Internet, local (a la máquina/red), etc.
Windows Routing and Remote Access Service (RRAS)
Routing and Remote Access Service (RRAS) es un servicio de Windows que permite que el sistema operativo se comporte como un enrutador, permitiendo las conexiones sitio a sitio mediante VPN o conexión telefónica. Hay tres vulnerabilidades críticas en este servicio este mes, todas con una puntuación de CVSS alta de 9,8. Las notas del parche no nos dicen mucho, excepto que los paquetes especialmente diseñados enviados al servidor pueden activar la ejecución remota de código.
RRAS no está disponible en todos los servidores de Windows, sino que viene como parte de la función de acceso remoto y tiene que estar instalado a propósito. En nuestras observaciones, hemos visto que aproximadamente el 15 % de los entornos supervisados tienen servidores de Windows con la función de acceso remoto instalada.
Tiempo de ejecución de llamada a procedimiento remoto
Hay 14 CVE distintas de tiempo de ejecución de RPC con parches este mes, la mayoría por atacantes de denegación de servicio. Solo una CVE (CVE-2023-35300) puede obtener la ejecución remota de código, y las notas del parche no nos dicen mucho más. Al revertir el parche, vemos que el equipo de Microsoft Offensive Research & Security Engineering (MORSE) parece haber trabajado mucho en el motor de reversión de conversión de NDR. Tenemos mucho material sobre MS-RPC, de modo que, si desea saber más, puede encontrar varios enlaces a artículos útiles en nuestro kit de herramientas de RPC.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Omisión de la función de seguridad |
Red |
||
Suplantación |
|||
Ejecución remota de código |
|||
Denegación de servicio |
Red |
||
Escalada de privilegios |
Local |
||
Omisión de la función de seguridad |
Red |
||
Omisión de la función de seguridad |
Red |
||
Ejecución remota de código |
Red |
||
Denegación de servicio |
|||
Ejecución remota de código |
Red adyacente |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede visitar nuestra cuenta de Twitter para conocer las actualizaciones en tiempo real.
