Perspectiva de Akamai sobre el Patch Tuesday de mayo de 2023
No hace mucho tiempo en Redmond, Washington, EE. UU…
Nos encontramos en un periodo de ciberguerra. Los administradores de red trabajan incansablemente para aplicar el nuevo Patch Tuesday (martes de parches).
Como hacemos cada mes, el grupo de inteligencia de seguridad de Akamai ha analizado las vulnerabilidades más interesantes a las que se han aplicado parches.
Parece que la Fuerza está con nosotros este mes, ya que solo hay 40 vulnerabilidades y exposiciones comunes (CVE) esta vez, muchas menos que en meses anteriores. Siete de las CVE con parches fueron críticas (una de ellas hallada por nuestro Ben Barnea), así como otras dos con puntuaciones del CVSS de 9,8 en PGM y NFS. Se afirma que dos de las CVE reparadas también se han utilizado en el mundo real, calificándolas como vulnerabilidades de día cero reparadas.
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados y proporcionaremos una perspectiva realista sobre los errores que se han corregido. También puede ver una rápida descripción general en tiempo real el día del parche en nuestra cuenta de Twitter. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades explotadas libremente
Windows Win32k: CVE-2023-29336
Se trata de una vulnerabilidad de elevación local de privilegios en Win32k, que trata el subsistema de Windows en el kernel de Windows, principalmente la gestión de GUI y ventanas. Fue detectada por los investigadores de seguridad de Avast y se puede utilizar para elevar privilegios al SISTEMA.
Arranque seguro: CVE-2023-24932
Esta vulnerabilidad permite que los atacantes omitan el arranque seguro, que se utiliza para garantizar que solo se utiliza software de confianza para iniciar la máquina. Ha sido utilizado por BlackLotus para cargar su kit de arranque. Por sí solo, el parche no mitiga el riesgo generado por la vulnerabilidad.
Los administradores también deben actualizar todas las copias de seguridad y los medios de inicio de Windows, así como aplicar revocaciones y nuevas políticas. Microsoft lanzó KB5025885 para proporcionar orientación sobre cómo implementar los cambios.
Vulnerabilidades descubiertas por los investigadores de Akamai
Plataforma MSHTML de Windows: CVE-2023-29324
La vulnerabilidad es una elusión de la función MapUrlToZone . La función analiza incorrectamente una ruta específica, resolviéndola como una ruta local aunque sea remota.
MapUrlToZone se utilizó como mitigación de la vulnerabilidad crítica de Outlook a la que se aplicó un parche en marzo y, por lo tanto, la nueva vulnerabilidad permite volver a explotarla.
Hemos publicado un informe detallado para este problema.
SMB de Windows: CVE-2023-24898
Los servidores que ejecutan SMB a través de QUIC son vulnerables a un ataque de denegación de servicio. La vulnerabilidad se puede aprovechar fácilmente sin autenticación del atacante. Puesto que SMB a través de QUIC es una característica relativamente nueva, no esperamos que sean vulnerables un gran número de equipos.
Network File System (NFS) de Windows
NFS es un protocolo de red desarrollado originalmente por Sun Microsystems para permitir el acceso remoto a los archivos a través de la red. Existe una implementación en Microsoft Windows, y la función NFS se puede añadir a un servidor para convertirlo en un servidor NFS. Este mes hay tres vulnerabilidades, una de ellas crítica, que pueden llevar a la ejecución remota de código.
Análisis del alcance
Es necesario añadir la función NFS a un servidor y cliente de Windows antes de poder utilizarla. Se incluye en la función de servidor "Servicios de archivos y de almacenamiento" en Windows Server.
NFS suele utilizar el puerto 111 (puerto EpMapper de SunRPC: las versiones anteriores de NFS se implementan a través de SunRPC) y el puerto 2049. Al analizar varios centros de datos, hemos detectado que solo el 0,1 % podrían ser potencialmente servidores NFSv4, y solo aproximadamente la mitad ejecutan Windows.
Recomendaciones generales
Normalmente, recomendamos ver si es posible actualizar el servidor NFS para utilizar NFS v4.1, ya que es la versión más segura. Esta vez, sin embargo, la vulnerabilidad de ejecución remota de código afecta solo a NFS v4, por lo que no podemos recomendar una actualización.
En su lugar, recomendamos aplicar segmentación en torno a los servidores NFS. Debe comprobar y observar si puede limitar (acordonar) los clientes NFS a un grupo más pequeño de servidores o estaciones de trabajo, y también limitar el tráfico saliente del servidor NFS. Como es un servidor, debe haber pocos motivos para que inicie conexiones. La segmentación podría limitar el impacto que puede tener una explotación satisfactoria.
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|
Ejecución remota de código |
Red |
|
Divulgación de información |
||
Denegación de servicio |
Protocolo ligero de acceso a directorios (LDAP) de Windows
LDAP es un protocolo de código abierto diseñado para conectar y consultar servicios de directorio y bases de datos. El controlador de dominio de Active Directory tiene una implementación de servidor LDAP para permitir que los programas y servidores existentes que dependen de LDAP utilicen el controlador de dominio existente sin necesidad de un servidor independiente.
Este mes, hay una vulnerabilidad en el servicio LDAP que afecta a los controladores de dominio sin parches. CVE-2023-28283 es una vulnerabilidad de ejecución remota de código de la que se puede abusar antes de la autenticación.
No podemos aplicar parches a nuestro controlador de dominio y arriesgamos a sufrir tiempo de inactividad. ¿Se pueden mitigar las vulnerabilidades en otro lugar?
En realidad no. Puesto que el controlador de dominio es integral a todas las partes del dominio, es prácticamente imposible restringir el acceso a él sin comprometer las operaciones normales de red. Hasta el rastreo de CVE-2023-28283 puede ser difícil, ya que no requiere autenticación. Los equipos de respuesta a incidentes pueden estar atentos a sesiones LDAP de corta duración que no tengan una respuesta del servidor. Esto podría indicar un intento de explotación.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
|
Divulgación de información |
Autenticado localmente |
|
Ejecución remota de código |
Red |
||
Ejecución remota de código |
Autenticado con permisos de propietario del sitio |
||
Suplantación |
Autenticado con permisos de creación de sitios; podría provocar una filtración del hash NTLM |
||
Divulgación de información |
Autenticado |
||
Ejecución remota de código |
Red |
||
Denegación de servicio |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede visitar nuestra cuenta de Twitter para conocer las actualizaciones en tiempo real.
