Las vulnerabilidades de seguridad no esperaban que la primavera apareciera en todas partes en las soluciones y servicios de Microsoft. Una simple mirada al último parche de martes del editor nos permite darnos cuenta de que la última salva es tan fuerte como la de febrero. Si el mes pasado se completaron 77 vulnerabilidades en comparación con 74 este mes, las clasificadas como críticas están aumentando, lo que aumenta 6 esta vez en comparación con 3 anteriormente. “Este volumen parece ser la nueva normalidad para Microsoft. Sin embargo, como vimos el mes pasado, los errores de ejecución de código remoto continúan dominando esta edición ", indicado Investigadores de iniciativa de día cero.

Durante el último mes, ha habido alrededor de veinte RCE, incluidos varios críticos de alta gravedad, como el CVE-2023-23415 cuya puntuación CVSS alcanza su punto máximo en 9.8. Este último se refiere a ICMP (Protocolo de mensajes de control de Internet), uno de los protocolos fundamentales de la capa de red para informar errores, por ejemplo, cuando un dispositivo de red no se comunica con otro. En el caso de una exploit, “Un atacante podría enviar a la computadora objetivo un error de protocolo de bajo nivel cuyo encabezado contiene un paquete IP fragmentado. Para activar la ruta del código vulnerable, una aplicación en el objetivo debe unirse a un socket sin procesar ”, explica Microsoft.

Un riesgo significativo de ataque de retransmisión NTLM a través de Outlook

También se han corregido dos defectos explotados actualmente: el primero (CVE-2023-23397) de un alto nivel de gravedad (CVSS 9.1) afecta la perspectiva. “Si bien a menudo buscamos vulnerabilidades en Outlook que puedan activarse por la funcionalidad de panel de vista previa del software, un atacante podría explotar esta vulnerabilidad simplemente enviando un correo electrónico a un objetivo potencial. Esto se debe a que la vulnerabilidad se activa en el lado del servidor de correo electrónico, lo que significa que la explotación ocurriría antes de que la víctima vea el correo electrónico malicioso ”, advirtió Satnam Narang, ingeniero de seguridad senior de Tenable. . “Un atacante podría explotar esta vulnerabilidad para filtrar el hash Net-NTLMV2 de un usuario y realizar un ataque de retransmisión NTLM para reautenticarse como el usuario. Esta vulnerabilidad se atribuye notablemente al Equipo de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA), lo que podría significar que podría haber sido explotado en la naturaleza contra los objetivos ucranianos.

El segundo orificio de seguridad explotado se considera moderado (CVE-2023-24480) con una puntuación CVSS de 5.4, y se refiere al bypass de la función SmartScreean de Windows que funciona con su marca de la funcionalidad web (MOTW) para marcar archivos descargados desde Internet. “La vulnerabilidad permite a los atacantes crear archivos que omitirían la marca de las defensas web (MOTW). Medidas de protección como la pantalla inteligente y la vista protegida en Microsoft Office se basa en MOTW, por lo que omitirlos facilita que los actores de amenaza distribuyan malware a través de documentos especialmente diseñados y otros archivos infectados que de otro modo serían detenidos por SmartScreen ", explica la iniciativa Zero Day.