Introducció
Microsoft ha publicat 38 pegats de vulnerabilitat. Es poden classificar com:
- 8 vulnerabilitats d’Elevació de Privilegis
- 4 vulnerabilitats d’elusió de funcions de seguretat
- 12 vulnerabilitats d’execució remota de codi
- 8 vulnerabilitats de divulgació d’informació
- 5 vulnerabilitats de denegació de servici
- 1 vulnerabilitat de suplantació d’identitat
Afecten múltiples productes de Microsoft com a Office, múltiples versions de Windows Server, Windows 10/11. D’elles, 6 són crítiques i 3 són explotables. Ens centrarem en:
CVE-2023-29335, CVE-2023-24901, CVE-2023-24903, CVE-2023-24941, CVE-2023-24943, CVE-2023-28283, CVE-2023-29336, CVE-2023-24932, CVE-2023-29325.
Anàlisi
CVE-2023-29325 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:
Esta vulnerabilitat està sent explotada. En un escenari d’atac per correu electrònic, un atacant podria explotar la vulnerabilitat enviant el correu electrònic especialment dissenyat a la víctima. L’explotació de la vulnerabilitat pot implicar que la víctima òbriga un missatge de correu electrònic especialment dissenyat amb una versió afectada del programari Microsoft Outlook, o que l’aplicació Outlook de la víctima mostre una vista prèvia d’un missatge de correu electrònic especialment dissenyat. Això podria donar lloc al fet que l’atacant execute codi remot en la màquina de la víctima.
CVE-2023-24932 CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H – 6.2:
Esta vulnerabilitat està sent explotada. Secure Boot Security Feature Bypass requerix que un atacant que tinga accés físic o drets administratius a un dispositiu de destí puga instal·lar una política d’arrancada afectada.
CVE-2023-29336 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – 7.8:
Esta vulnerabilitat està sent explotada. Vulnerabilitat d’elevació de privilegis de Win32k que permetria a un atacant que explotara amb èxit esta vulnerabilitat obtindre privilegis de SYSTEM.
CVE-2023-24943 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:
Windows Pragmatic General Multicast (PGM) Remote Code Execution. Un atacant podria enviar un arxiu especialment dissenyat a través de la xarxa per a aconseguir l’execució remota de codi i intentar activar codi maliciós quan el servici Windows Message Queuing s’està executant en un entorn de servidor PGM.
CVE-2023-24941 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:
Execució remota de codi del sistema d’arxius de xarxa de Windows que podria aprofitar-se a través de la xarxa realitzant una crida no autenticada i especialment dissenyada a un servici del sistema d’arxius de xarxa (NFS) per a desencadenar una execució remota de codi (RCE).
CVE-2023-28283 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution que podria permetre a un atacant no autenticat que explotara amb èxit esta vulnerabilitat obtindre l’execució de codi a través d’un conjunt especialment dissenyat d’anomenades LDAP per a executar codi arbitrari dins del context del servici LDAP.
CVE-2023-24903 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:
Windows Secure Socket Tunneling Protocol que podria resultar en l’execució remota de codi en el costat del servidor a través d’un paquet SSTP maliciós especialment dissenyat a un servidor SSTP.
CVE-2023-29335 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H – 7.5:
Vulnerabilitat d’elusió de funcions de seguretat de Microsoft Word que requerix que un usuari òbriga un arxiu manipulat i podria permetre a un atacant eludir funcions específiques de la vista protegida d’Office:
En un escenari d’atac per correu electrònic, un atacant podria explotar la vulnerabilitat enviant l’arxiu especialment dissenyat a l’usuari i convencent-lo que l’òbriga.
En un escenari d’atac basat en web, un atacant podria allotjar un lloc web (o aprofitar un lloc web compromés que accepte o allotge contingut proporcionat per l’usuari) que continga un arxiu especialment dissenyat per a explotar la vulnerabilitat.
CVE-2023-24901 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N – 7.5:
Windows NFS Portmapper Information Disclosure Vulnerability que podria permetre a un atacant llegir porcions de memòria de la pila.
Versions afectads
Recomanacions
Actualitze segons les instruccions dels enllaços de les versions afectades. A més, Microsoft ha publicat solucions temporals per a alguns CVE:
CVE-2023-24941:
Solució temporal:
Les següents mesures pal·liatives podrien ser útils en la seua situació:
Esta vulnerabilitat no és explotable en NFSV2.0 o NFSV3.0. Abans d’actualitzar la seua versió de Windows que protegix contra esta vulnerabilitat, pot mitigar un atac desactivant NFSV4.1. Això podria afectar negativament el seu ecosistema i només hauria d’utilitzar-se com a mitigació temporal.
Advertiment: NO ha d’aplicar esta mitigació llevat que haja instal·lat les actualitzacions de seguretat de Windows de maig de 2022.
El següent comando PowerShell desactivarà eixes versions:
PS C:\Set-NfsServerConfiguration -EnableNFSV4 $false
CVE-2023-29325:
Solució temporal:
Utilitze Microsoft Outlook per a reduir el risc que els usuaris òbriguen arxius RTF de fonts desconegudes o no fiables.
Per a ajudar a protegir-se contra esta vulnerabilitat, recomanem als usuaris que lligen els missatges de correu electrònic en format de text sense format.
Per a obtindre orientació sobre com configurar Microsoft Outlook perquè llija tot el correu estàndard en text sense format, consulte Llegir missatges de correu electrònic en text sense format.
Repercussió de la solució: Els missatges de correu electrònic que es visualitzen en format de text sense format no contindran imatges, fonts especialitzades, animacions o un altre contingut enriquit. A més, és possible que es produïsca el següent comportament:
Els canvis s’apliquen al panell de vista prèvia i als missatges oberts.
Les imatges es convertixen en arxius adjunts perquè no es perden.
Com el missatge continua estant en format Rich Text o HTML en el magatzem, el model d’objectes (solucions de codi personalitzat) pot comportar-se de manera inesperada.
REFERÈNCIES
