Perspectiva de Akamai sobre el Patch Tuesday de noviembre de 2023
Como hacemos cada mes, el grupo de inteligencia de seguridad de Akamai ha analizado las vulnerabilidades más interesantes a las que se han aplicado parches.
Ya ha pasado Halloween, pero todavía nos quedan algunos días para celebrar Hanukkah o Navidad así que, ¿qué podemos hacer para pasar el tiempo? ¡Pues leer las notas del parche, por supuesto! De las 57 CVE reparadas este mes, solo tres de ellas son críticas. La clasificación de la CVE más alta es de 9,8, y comprende dos de ellas. También hay tres vulnerabilidades notificadas como explotadas libremente.
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados para proporcionar una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
Este mes, nos centramos en las áreas en las que se han aplicado parches a los errores:
Vulnerabilidades explotadas libremente
CVE-2023-36025: — Windows SmartScreen (CVSS 8.8)
Se trata de una vulnerabilidad de omisión de seguridad, que ignora la advertencia de seguridad de SmartScreen al abrir archivos de acceso directo de Internet (.url) o hipervínculos que llevan a esos archivos. Los archivos de acceso directo deben diseñarse específicamente para desencadenar la vulnerabilidad. No es la primera vez que los atacantes explotan activamente las vulnerabilidades de omisión de SmartScreen. Threat Analysis Group de Google (Google TAG) ha detectado y notificado que el ransomware Magniber utilizaba una vulnerabilidad de omisión de Windows SmartScreen en el pasado.
CVE-2023-36036: — Controlador de minifiltro de archivos de Windows Cloud (CVSS 7.8)
Se trata de una vulnerabilidad de derivación de privilegios que permite a los atacantes obtener privilegios del SISTEMA. El minifiltro de archivos en la nube forma parte de motores de sincronización en la nube, que proporciona acceso a WinAPI para sincronizar y trabajar con sistemas de archivos basados en la nube. El controlador del filtro se implementa en el archivo cldflt.sys.
CVE-2023-36033: — Biblioteca central de DWM de Windows (CVSS 7.8)
Se trata de otra vulnerabilidad de derivación de privilegios, pero esta vez en Windows Desktop Window Manager (DWM). Se encarga de gestionar las ventanas visibles de la pantalla. DWM ha sido parte de Windows desde Windows Vista y se implementa en el proceso dwm.exe. Esta vulnerabilidad se encuentra específicamente en la biblioteca principal dwmcore.dll, que se carga en ese proceso.
Multidifusión general pragmática de Windows
La multidifusión general pragmática (PGM) de Windows es un protocolo diseñado para distribuir paquetes entre varios miembros de la red de forma fiable. En Windows, la implementación de este protocolo se denomina programación multidifusión fiable. En este Patch Tuesday se solucionó una vulnerabilidad crítica de ejecución remota de código en este protocolo, con una puntuación CVSS de 9,8.
Desde Windows Server 2003, PGM se ha basado en sockets de Windows. En el espacio de usuario, se implementa en una biblioteca denominada wshrm.dll (Windows Sockets Helper DLL para PGM, donde "rm" significa multidifusión remota). En el espacio del núcleo, PGM se implementa a través del controlador rmcast.sys.
Según las mitigaciones de Microsoft en las CVE, el servicio de Message Queue Server debe estar en ejecución para que la vulnerabilidad pueda explotarse. El servicio no se instala de forma predeterminada y debe añadirse a través de la pantalla Características del panel de control.
En nuestras observaciones, hemos visto que aproximadamente el 50 % de los entornos tenían servidores con el servicio de Message Queue Server instalado y ejecutándose, y el 25 %, con el protocolo PGM instalado. Aunque en la mayoría de los centros de datos solo unos pocos equipos tenían Message Queue Server habilitado, observamos algunos entornos en los que varios servidores ejecutaban el servicio.
Dado que la complejidad del ataque para todas las vulnerabilidades es baja, recomendamos aplicar parches a los servidores pertinentes lo antes posible. Si la aplicación de parches no es posible, debido a la continuidad operativa o por cualquier otro motivo, recomendamos restringir el acceso al servicio mediante políticas de segmentación de red , como mínimo.
Dado que el servicio Message Queue Server es accesible a través del puerto 1801, pero no debería haber tantos clientes con acceso a él (ya que la propia aplicación empresarial lo utiliza principalmente), recomendamos restringir el acceso arbitrario a la red a ese puerto y servicio. Intente segmentarlo mediante políticas de lista de autorización, permitiendo el acceso solo a los equipos que realmente lo necesiten.
Protocolo de autenticación extensible protegido de Microsoft
El Protocolo de autenticación extensible protegido (PEAP) es un protocolo que encapsula el Protocolo de autenticación extensible (EAP) dentro de una sesión TLS. El EAP se utiliza para autenticar dispositivos y conexiones a redes, así como en la autenticación de redes Wi-Fi.
Los servidores de Windows pueden configurarse con una función opcional denominada Servidor de directivas de redes (NPS). El NPS se puede utilizar para autenticar y permitir solicitudes de conexión de red con EAP y PEAP. Esta opción no está activada de forma predeterminada: la función NPS debe instalarse y configurarse manualmente. Según nuestras observaciones, solo el 21 % de las redes tienen servidores NPS.
Dado que se supone que el NPS es fundamental para la red y que también procesa las solicitudes de autenticación, puede resultar problemático aplicar políticas de segmentación en él. En su lugar, Microsoft afirma que una posible mitigación podría ser bloquear el PEAP en las negociaciones de protocolo y proporcionar dos fuentes para hacerlo.
Este mes se ha solucionado una vulnerabilidad crítica de ejecución de código remoto (CVE-2023-36028:) con una puntuación de 9,8.
Servicios tratados anteriormente
Muchas CVE en el Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores, relativas a nuestras perspectivas sobre el Patch Tuesday en nuestro blog.
Servicio |
Número de CVE |
Efecto |
Acceso requerido |
|---|---|---|---|
Ejecución remota de código |
Acceso a LAN, autenticación |
||
Ejecución remota de código |
Acceso a LAN, autenticación |
||
Suplantación |
|||
Denegación de servicio |
Red |
||
Ejecución remota de código |
Red, requiere que el usuario se conecte a un servidor malicioso |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede seguirnos en X, anteriormente conocido como Twitter, para recibir actualizaciones en tiempo real.
