Los meses se suceden, pero no son iguales en Patch Tuesday. Si en abril, microsoft había “cargado el barco” con casi 100 correccionesel mes de mayo muestra una ligereza récord con sólo 38 parches. Tenemos que remontarnos a agosto de 2021 para encontrar un nivel tan bajo. El contador sube a 49 al sumar 11 boletines de seguridad relacionados con el navegador Edge. En la entrega mensual, el editor corrige 3 vulnerabilidades de día cero (dos de las cuales están explotadas activamente) y 6 se consideran críticas, es decir, capaces de ejecutar código de forma remota.

En el detalle de las vulnerabilidades de día cero, la primera, clasificada CVE-2023-29336, provoca una escalada de privilegios en Win32k. De este modo, los atacantes pueden tomar el control de los sistemas afectados. Como dijo Satnam Narang, ingeniero senior de investigación de Tenable: “Este es el quinto mes consecutivo en que una vulnerabilidad de elevación de privilegios se ha explotado en la naturaleza como un día cero. Esperamos que los investigadores que lo descubrieron pronto hagan públicos los detalles de su explotación”. La falla fue descubierta por Avast y cabe señalar que, por el momento, no existen soluciones ni parches alternativos, por lo que es urgente e imperativo aplicar las correcciones oficiales.

La función de arranque seguro de Windows en el visor

La segunda falla de día cero, CVE-2023-24932, permite a los ciberdelincuentes eludir la función de seguridad de arranque seguro en Windows. Protege el proceso de arranque contra modificaciones no autorizadas y malware. La explotación de esta infracción parece estar vinculada a “BlackLotus, un kit de arranque UEFI que el editor de seguridad ESET informó por primera vez en marzo de 2023”, observa Satnam Narang.

Entre las fallas críticas, se debe corregir como prioridad CVE-2023-24941 relativa al protocolo NFS (Network File System) para compartir archivos y acceso remoto en una red. Microsoft le dio una puntuación de gravedad de 9,8. Se prestará especial atención al CVE-2023-28283 relacionado con Windows LDPA según SANS Internet Storm Center. Los atacantes pueden obtener un RCE en el servicio de directorio mediante llamadas LDAP especialmente diseñadas. Por último, se debe prestar especial atención al CVE-2023-29325 relacionado con OLE (vinculación e incrustación de objetos), el tercer día cero no explotado y dirigido al panel de vista previa de Outlook.