Ciberseguridad 360 | Microsoft corrige 3 vulnerabilidades zero days y 104 fallas

Parches de octubre de 2023 de Microsoft, con actualizaciones de seguridad para 104 fallas, incluidas tres vulnerabilidades de d�a cero explotadas activamente.

Si bien se corrigieron cuarenta y cinco errores de ejecuci�n remota de c�digo (RCE), Microsoft solo calific� doce vulnerabilidades como "cr�ticas", todas las cuales son fallas de RCE.

La cantidad de errores en cada categor�a de vulnerabilidad se enumera a continuaci�n:

26 Vulnerabilidades de elevaci�n de privilegios
3 vulnerabilidades de omisi�n de funciones de seguridad
45 vulnerabilidades de ejecuci�n remota de c�digo
12 vulnerabilidades de divulgaci�n de informaci�n
17 vulnerabilidades de denegaci�n de servicio
1 vulnerabilidades de suplantaci�n de identidad

El recuento total de 104 fallas no incluye una vulnerabilidad de Chromium rastreada como CVE-2023-5346, que Google solucion� el 3 de octubre y port� a Microsoft Edge.

Tres vulnerabilidades de d�a cero explotadas activamente

El martes de parches de este mes corrige tres vulnerabilidades de d�a cero, todas ellas explotadas en ataques y dos de ellas divulgadas p�blicamente.

Microsoft clasifica una vulnerabilidad como de d�a cero si se divulga p�blicamente o se explota activamente sin una soluci�n oficial disponible.

Las tres vulnerabilidades de d�a cero explotadas activamente en las actualizaciones de ayer son:

CVE-2023-41763: Vulnerabilidad de elevaci�n de privilegios en Skype Empresarial

Microsoft ha solucionado una vulnerabilidad de Skype Empresarial explotada activamente que est� clasificada como un error de elevaci�n de privilegios.

"Un atacante que aprovech� con �xito la vulnerabilidad podr�a ver cierta informaci�n confidencial (Confidencialidad), pero no todos los recursos dentro del componente afectado podr�an ser divulgados al atacante", explica Microsoft.

"Mientras el atacante no pueda realizar cambios en la informaci�n divulgada (Integridad) ni limitar el acceso al recurso (Disponibilidad)".

La falla fue descubierta por el Dr. Florian Hauser (@frycos), quien dijo que es la misma falla que revel� en septiembre de 2022 pero que Microsoft se hab�a negado a solucionar en ese momento.

"Se podr�a utilizar esta vulnerabilidad para llegar a sistemas en las redes internas. B�sicamente, le permite violar el per�metro de Internet porque Skype generalmente est� expuesto en la Internet p�blica", dijo Hauser.

CVE-2023-36563: Vulnerabilidad de divulgaci�n de informaci�n en Microsoft WordPad

Microsoft ha solucionado una vulnerabilidad explotada activamente que se puede utilizar para robar hashes NTLM al abrir un documento en WordPad.

"Para explotar esta vulnerabilidad, un atacante primero tendr�a que iniciar sesi�n en el sistema. Luego, un atacante podr�a ejecutar una aplicaci�n especialmente dise�ada que podr�a explotar la vulnerabilidad y tomar el control de un sistema afectado", explica Microsoft.

"Adem�s, un atacante podr�a convencer a un usuario local para que abra un archivo malicioso. El atacante tendr�a que convencer al usuario de que haga clic en un v�nculo, generalmente a trav�s de un incentivo en un correo electr�nico o mensaje instant�neo, y luego convencerlo de que abra el archivo especialmente archivo elaborado."

Estos hashes NTLM se pueden descifrar o utilizar en ataques de retransmisi�n NTLM para obtener acceso a la cuenta.

Esta falla fue descubierta internamente por el grupo Microsoft Threat Intelligence y parece ser una rama de CVE-2023-36761 , corregida el mes pasado.

CVE-2023-44487: Ataque de reinicio r�pido HTTP/2

Microsoft ha publicado mitigaciones para una nueva t�cnica de ataque DDoS de d�a cero llamada ' HTTP/2 Rapid Reset ' que ha sido explotada activamente desde agosto, rompiendo todos los r�cords anteriores.

Este ataque abusa de la funci�n de cancelaci�n de transmisi�n de HTTP/2 para enviar y cancelar solicitudes continuamente, abrumando al servidor/aplicaci�n de destino e imponiendo un estado DoS.

Como la funci�n est� integrada en el est�ndar HTTP/2, no existe ninguna "soluci�n" para la t�cnica que se pueda implementar aparte de limitar la velocidad o bloquear el protocolo.

Los pasos de mitigaci�n de Microsoft en el aviso son deshabilitar el protocolo HTTP/2 en su servidor web. Sin embargo, tambi�n proporcionaron un art�culo dedicado a HTTP/2 Rapid Reset, con m�s informaci�n.

Esta falla fue revelada ayer en una divulgaci�n coordinada por Cloudflare, Amazon y Google.

Microsoft dice que CVE-2023-41763 y CVE-2023-36563 se divulgaron p�blicamente.

Fuente: bleepingcomputer.com