Siete de los 97 errores están clasificados como Críticos
En el segundo martes del mes, Microsoft lanzó otro conjunto de actualizaciones de seguridad para corregir un total de 97 fallas que afectan su software, una de las cuales ha sido explotada activamente en la naturaleza en ataques de ransomware.
Siete de los 97 errores están clasificados como Críticos y 90 están clasificados como Importantes en cuanto a su gravedad. Curiosamente, 45 de las deficiencias son fallas de ejecución remota de código, seguidas de 20 vulnerabilidades de elevación de privilegios. Las actualizaciones también siguen las correcciones para 26 vulnerabilidades en su navegador Edge que se lanzaron durante el último mes.
La falla de seguridad que se encuentra bajo explotación activa es CVE-2023-28252 (puntaje CVSS: 7.8), un error de escalada de privilegios en el controlador del sistema de archivos de registro común (CLFS) de Windows.
"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA", dijo Microsoft en un aviso, dando crédito a los investigadores Boris Larin, Genwei Jiang y Quan Jin por informar sobre el problema.
CVE-2023-28252 es la cuarta falla de escalada de privilegios en el componente CLFS que ha sido objeto de abuso activo solo en el último año después de CVE-2022-24521, CVE-2022-37969 y CVE-2023-23376 (puntajes CVSS: 7.8 ). Se han identificado al menos 32 vulnerabilidades en CLFS desde 2018.
Según la firma rusa de seguridad cibernética Kaspersky, la vulnerabilidad ha sido armada por un grupo de ciberdelincuencia para implementar el ransomware Nokoyawa contra pequeñas y medianas empresas en el Medio Oriente, América del Norte y Asia.
"CVE-2023-28252 es una vulnerabilidad de escritura (incremento) fuera de los límites que puede explotarse cuando el sistema intenta extender el bloque de metadatos", dijo Larin. "La vulnerabilidad se desencadena por la manipulación del archivo de registro base".
A la luz de la explotación continua de la falla, CISA agregó el día cero de Windows a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias de la Rama Ejecutiva Civil Federal (FCEB) asegurar sus sistemas antes del 2 de mayo de 2023.
También se corrigieron fallas críticas de ejecución remota de código que afectan el servicio del servidor DHCP, el protocolo de tunelización de capa 2, la extensión de imagen sin formato, el protocolo de tunelización punto a punto de Windows, Windows Pragmatic General Multicast y Microsoft Message Queuing (MSMQ).
El error MSMQ, rastreado como CVE-2023-21554 (puntaje CVSS: 9.8) y denominado QueueJumper por Check Point, podría conducir a la ejecución de código no autorizado y apoderarse de un servidor mediante el envío de un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ.
"La vulnerabilidad CVE-2023-21554 permite a un atacante ejecutar potencialmente código de forma remota y sin autorización al llegar al puerto TCP 1801", dijo el investigador de Check Point, Haifei Li. "En otras palabras, un atacante podría obtener el control del proceso a través de un solo paquete al puerto 1801/tcp con el exploit, lo que desencadenaría la vulnerabilidad".
Otras dos fallas descubiertas en MSMQ, CVE-2023-21769 y CVE-2023-28302 (puntajes CVSS: 7.5), podrían explotarse para causar una condición de denegación de servicio (DoS), como un bloqueo del servicio y la pantalla azul de la Muerte de Windows (BSoD).
El desarrollo se produce cuando se ha observado que los actores de amenazas vinculados a Corea del Norte aprovechan la falla para incorporar código shell cifrado en bibliotecas legítimas sin invalidar la firma emitida por Microsoft.
Microsoft emite una guía para los ataques de BlackLotus Bootkit
Junto con la actualización, el gigante tecnológico también emitió una guía para CVE-2022-21894 (también conocido como Baton Drop), una falla de omisión de arranque seguro ahora reparada que ha sido explotada por actores de amenazas que utilizan un kit de arranque de Interfaz de firmware extensible unificada (UEFI) incipiente llamado BlackLotus para establecer la persistencia en un host.
Algunos indicadores de compromiso (IoC) incluyen archivos de cargador de arranque bloqueados y creados recientemente en la partición del sistema EFI (ESP), presencia del directorio de ensayo "ESP:/system32/", modificaciones a la clave de registro "HKLM:\SISTEMA\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity", y registros de eventos asociados con la detención de Microsoft Defender Antivirus.
"Los bootkits UEFI son particularmente peligrosos ya que se ejecutan al iniciar la computadora, antes de que se cargue el sistema operativo y, por lo tanto, pueden interferir o desactivar varios mecanismos de seguridad del sistema operativo (SO)", dijo el equipo de respuesta a incidentes de Microsoft.
Microsoft recomienda además que los dispositivos comprometidos se eliminen de la red para examinarlos en busca de evidencia de actividad de seguimiento, reformatear o restaurar las máquinas a partir de una copia de seguridad limpia conocida que incluya la partición EFI, mantener la higiene de las credenciales y hacer cumplir el principio de privilegio mínimo (PoLP).