En el marco del Patch Tuesday, Microsoft ha lanzado un total de 83 actualizaciones de seguridad las que incluyen dos vulnerabilidades de día cero (recordemos que una una vulnerabilidad de día cero es una falla encontrada por actores maliciosos antes que el fabricante y explotada activamente sin una solución oficial disponible), una de ellas explotada actualmente por el ransomware Magniber.
Vulnerabilidades de día cero remediadas
Las dos vulnerabilidades de día cero que han sido remediadas por el equipo de Microsoft son:
- Vulnerabilidad de escalamiento de privilegios en Microsoft Outlook: esta vulnerabilidad permite a los atacantes enviar correos especialmente diseñados que generan conexión a una ubicación UNC externa (controlada por el atacante), esto logra extraer el hash Net-NTLMv2 (el protocolo de autenticación desarrollado por Microsoft), lo que finalmente permitiría al atacante autentificarse como la víctima y violar su información.
- Vulnerabilidad de omisión de la característica de seguridad SmartScreen en Windows: este error permite crear ejecutables que omiten la advertencia de seguridad web de Windows, lo que se traduce en una pérdida limitada de integridad y disponibilidad de características de seguridad.
El equipo de Google Threat Analysis Group (TAG) determinó que esta vulnerabilidad era un bypass a un CVE anterior (específicamente CVE-2022-44698) explotado por el ransomware Magniber (el mismo que explotó la vulnerabilidad actual) y corregido en diciembre por Microsoft, la que permitía ejecutar código para que Windows SmartScreen generase un error y omitiera las advertencias.
Tras corregir esta vulnerabilidad Google TAG descubrió que la operación Magniber cambió el uso de firmas authenticode para omitir la corrección, esto fue posible debido a que Microsoft arregló únicamente el abuso de archivos JavaScript en lugar de la raíz del error.
Fallas
El resto de las fallas corregidas se encuentran en las siguientes categorías:
- Vulnerabilidades de ejecución remota de código (27)
- Vulnerabilidades de elevación de privilegios (21)
- Vulnerabilidades de divulgación de información (15)
- Vulnerabilidades de suplantación de identidad (10)
- Vulnerabilidades de denegación de servicio (4)
- Vulnerabilidades de omisión de características de seguridad (2)
- Edge - Vulnerabilidad de cromo (1)
Vulnerabilidades añadidas al KEV del CISA
La Agencia de Seguridad de Infraestructura y Ciberseguridad, CISA, agregó varias de estas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas el día martes 14 de Marzo, incluyendo las dos vulnerabilidades de día cero mencionadas. Dentro de la lista de vulnerabilidades resueltas destacan 9 que han sido clasificadas con severidad crítica por permitir la ejecución remota de código, denegación de servicio o la elevación de privilegios:
- CVE-2023-23415
- CVE-2023-23397
- CVE-2023-23404
- CVE-2023-23411
- CVE-2023-23416
- CVE-2023-23392
- CVE-2023-21708
- CVE-2023-1017
- CVE-2023-1018
Recomendaciones
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, de forma de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Por otra parte, las principales acciones que se pueden tomar frente a este tipo de ataques son:
- Mejorar su postura de seguridad a través de una transición a la ciberdefensa.
- Capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.
- Priorizar la reparación de vulnerabilidades explotadas conocidas.
Fuentes
https://msrc.microsoft.com/update-guide/
https://www.cisa.gov/known-exploited-vulnerabilities-catalog