Perspectiva de Akamai sobre el Patch Tuesday de octubre de 2023
Como hacemos cada mes, el grupo de inteligencia de seguridad de Akamai ha examinado las vulnerabilidades más interesantes a las que se han aplicado parches. De las 105 CVE reparadas este mes, 12 de ellas son críticas. La clasificación de CVE más alta es de 9,8. Hay además tres vulnerabilidades registradas como explotadas libremente.
El informe de este mes es más breve de lo habitual y se centra en las vulnerabilidades explotadas libremente.
Vulnerabilidades explotadas libremente
CVE-2023-44487: ataque Rapid Reset en HTTP/2 (CVSS de 7,5)
Se trata de una vulnerabilidad de denegación de servicio (DoS) detectada y notificada por Google, CloudFlarey Amazon. La vulnerabilidad permitió el mayor ataque distribuido de denegación de servicio (DDoS) De la historia hasta la fecha, y se basa en una técnica llamada "Rapid Reset" en HTTP/2, que a su vez aprovecha la multiplexación de flujos.
Mitigación
Este ataque, aunque es novedoso, se produce en el nivel de protocolo y Akamai lo mitigaría por sus clientes de la misma forma que cualquier otro ataque DDoS de capa 7 mediante las capacidades de los productos de seguridad, como los controles de frecuencia, el firewall de aplicaciones web, Bot Manager Premier o Client Reputation.
Los servidores web que utilicen HTTP/2 que no estén protegidos por Akamai deben instalar parches de proveedor o desactivar HTTP/2 por completo para evitar la explotación por parte de esta CVE.
Microsoft sugiere una solución alternativa para desactivar HTTP/2 mediante dos claves de registro EnableHttp2TIs y EnableHttp2Cleartext. A continuación se incluye una consulta de Osquery que los clientes de Guardicore Segmentation de Akamai pueden utilizar para leer este valor en todos los servidores de la red:
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563: vulnerabilidad de revelación de información en Microsoft WordPad (CVSS de 6,5)
Esta vulnerabilidad permite que un atacante filtre el hash NTLM de una víctima. La explotación se realiza mediante la ejecución de una aplicación especialmente diseñada, lo que también se puede lograr convenciendo a la víctima de que abra un archivo malicioso. No tenemos todos los detalles sobre cómo se pueden revelar estas credenciales, pero es probable que el ataque implique filtrarlas a través de SMB.
Microsoft WordPad se instala en todos los terminales de Windows.
Mitigación
Además de la aplicación de parches, recomendamos lo siguiente:
Utilice la microsegmentación para bloquear el tráfico SMB (puerto TCP 445) desde el proceso de WordPad (wordpad.exe) a los destinos de Internet.
En Windows 11, es posible desactivar el envío automático de hashes NTLM a ubicaciones remotas mediante políticas de grupo: Plantillas administrativas > Red > Estación de trabajo Lanman > Bloquear NTLM.
CVE-2023-41763: vulnerabilidad de escalada de privilegios en Skype for Business (CVSS de 5,3)
La última vulnerabilidad que se ha explotado libremente se encuentra en Skype for Business. Un atacante podría realizar una llamada especial al servidor de Skype for Business de destino, que a continuación haría una solicitud a una dirección arbitraria (controlada por el atacante) y revelaría direcciones IP o números de puerto. A veces, dicha información puede proporcionar acceso a redes internas, lo cual dota a esta vulnerabilidad de su clase de escalada de privilegios.
Mitigación
Recomendamos a los clientes que apliquen parches en sus servidores de Skype siguiendo las Instrucciones de Microsoft.
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios. También puede visitar nuestra cuenta de Twitter para conocer las actualizaciones en tiempo real.
