Perspectiva de Akamai sobre el Patch Tuesday de septiembre de 2023

CVE-2023-36802 — Proxy del servicio de streaming de Microsoft (CVSS 7,8)

El proxy del servicio de streaming de Microsoft está relacionado con Microsoft Stream, el sucesor de Office 365 Video. El servicio se denomina "MSKSSRV" y está implementado en %WinDir%\System32\drivers\MSKSSRV.sys. La vulnerabilidad se explotó libremente, lo que llevó a una derivación de privilegios. 

CVE-2023-36761 — Microsoft Word (CVSS 6,2)

Se ha corregido una vulnerabilidad explotada libremente en Microsoft Word con una puntuación CVSS de 6,2. La vulnerabilidad parece deberse a una coacción en la autenticación de NTLM. La vulnerabilidad también afecta al panel de vista previa.

Esta no es la única vulnerabilidad corregida en Microsoft Word este mes, pues ha habido otra de RCE o ejecución remota de código (CVE-2023-36762) que se ha sufrido en Word. Esta vulnerabilidad también afecta al panel de vista previa, pero según Microsoft, a diferencia de la primera vulnerabilidad, es poco probable que se aproveche.

Microsoft Azure Kubernetes Service

Microsoft Azure Kubernetes Service (AKS) es la plataforma Kubernetes de Microsoft que permite a los usuarios implementar y gestionar su entorno contenedorizado.

Según las notas de Microsoft sobre esta vulnerabilidad, sabemos que este ataque se puede llevar a cabo desde una fuente externa, lo que puede indicar un ataque a la infraestructura de AKS en lugar de al propio clúster.

El resultado final del ataque otorgará a un atacante privilegios de administrador en el clúster de Kubernetes. Aunque esto suena grave, Microsoft también observó que es menos probable que se explote este ataque.

En otras noticias relacionadas con Kubernetes, nuestro equipo de investigación redactó una publicación de blog sobre CVE-2023-3676, una vulnerabilidad permite la ejecución remota de código con privilegios del SISTEMA en todos los terminales de Windows de un clúster de Kubernetes. .

Temas de Windows

Temas de Microsoft es una característica de Windows que permite al usuario cambiar la forma en que se muestran los iconos o las fuentes, entre otros posibles elementos.

Cualquier usuario puede aplicar un tema en un dispositivo, lo que significa que no necesita privilegios. Para aprovechar la vulnerabilidad corregida, un atacante tendría que "engañar" al usuario para que aplicara un archivo de tema malicioso.

De acuerdo con las notas de Microsoft sobre esta vulnerabilidad, sabemos que esta vulnerabilidad supone una RCE en los dispositivos. Asumimos entonces que el archivo del tema descargará un binario de una fuente no autorizada a una ubicación que puede conducir a su ejecución.

Conexión compartida a Internet (ICS)

Se ha descubierto una vulnerabilidad de RCE en el servicio Conexión compartida a Internet (ICS).

ICS es un servicio diseñado para permitir que un host de Windows conectado a Internet actúe como puerta de enlace de Internet a otros hosts de la red local que no tienen acceso directo a Internet.

Este servicio solo está pensado para que lo utilicen los hosts de la misma LAN, lo que podría explicar por qué Microsoft considera que esta vulnerabilidad únicamente puede explotarse desde los hosts del mismo segmento de red.

Excepto para las versiones heredadas de Windows, el servicio ICS "SharedAccess" no debería ejecutarse de forma predeterminada.