No hay respiro para los administradores de sistemas con el martes de parches entregado por Microsoft. La edición de abril tiene alrededor de cien correcciones. (97 para ser exactos) de los cuales 7 están catalogados como críticos. Pero hay un defecto que interesa especialmente a la empresa de Redmond: el CVE-2023-28252. La vulnerabilidad de día cero afecta al controlador del sistema de archivos del sistema de registro común (CLFS) de Windows, un componente central del sistema operativo.

Los especialistas tendrán la sensación de sentir un déjà vu. "Si esto le suena familiar, es porque se parchó una vulnerabilidad similar en el mismo componente hace apenas dos meses", dice Dustin Childs de Trend Micro Zero Day Initiative. Y añadió: "Para mí, esto significa que el parche original era insuficiente y los atacantes encontraron un método para eludir este parche. Al igual que en febrero, no tenemos información sobre la escala de los ataques. Este tipo de exploit suele estar asociado con un error de ejecución de código para distribuir malware o ransomware”.

Grupos de ransomware ya en funcionamiento

Sobre este último punto, Qualys cree que el grupo detrás del ransomware Nokoyawa está aprovechando este fallo de día cero. También podría estar relacionado con el ransomware Hive, asegura el editor. Por su parte, Tenable señala que CVE-2023-28252 es la segunda falla de día cero en CLFS descubierta por los equipos de seguridad de Mandiant y DBAPP (la otra está clasificada como CVE-2022-37969).

Entre las otras correcciones, se deben observar atentamente CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 y CVE-2023-28311. Se trata de vulnerabilidades que conducen a la ejecución remota de código en las suites Office, Word y Publisher. Pueden explotarse en campañas de phishing para distribuir malware. Preste también atención a CVE-2023-28220 y CVE-2023-28219 que afectan a los servidores de acceso remoto de Windows.