Microsoft Patch Tuesday de marzo 2023 corrige dos vulnerabilidades de Zero Day y diversas fallas

El pasado martes 14 de marzo del 2023 Microsoft lanzó la actualización del martes de parches (Patch Tuesday), la cual aborda dos vulnerabilidades de día cero (Zero Day) explotadas activamente y alrededor de 83 fallas de seguridad.

Entre las fallas corregidas hay alrededor de 9 vulnerabilidades clasificadas como críticas, las cuales pueden permitir la ejecución remota de código, ataques de denegación de servicio o de elevación de privilegios.

Categorías de las vulnerabilidades abordadas

• Vulnerabilidades de elevación de privilegios
• Vulnerabilidades de omisión de funciones de seguridad
• Vulnerabilidades de ejecución remota de código
• Vulnerabilidades de divulgación de información
• Vulnerabilidades de denegación de servicio
• Vulnerabilidades de suplantación de identidad

Vulnerabilidades de día cero corregidas en las actualizaciones del martes de parches

Microsoft clasifica una vulnerabilidad como de día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible.

La primera vulnerabilidad identificada como CVE-2023-23397 con puntuación CVSS de 9.8, es una falla de elevación de privilegios de Microsoft Outlook que permite que los correos electrónicos especialmente diseñados obliguen al dispositivo de destino a conectarse a una URL remota y transmitir el hash Net-NTLMv2 de la cuenta de Windows.

El atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico especialmente diseñado que se activa automáticamente cuando el cliente de Outlook lo recupera y lo procesa. Esto podría conducir a la explotación antes de que el correo electrónico se vea en el Panel de vista previa.

Al explotar con éxito esta vulnerabilidad se podría acceder al hash Net-NTLMv2 de un usuario, el cual puede utilizarse como base de un ataque de retransmisión NTLM contra otro servicio para autenticarse como usuario.

Aprovechando esta vulnerabilidad, los actores de amenazas recopilaron los hashes NTLM de la víctima para vulnerar sus redes, donde los atacantes robaron correos electrónicos para cuentas específicas.

Productos afectados

• Microsoft Outlook 2016 (64-bit edition)
• Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
• Microsoft Office 2019 for 32-bit editions
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft Office 2019 for 64-bit editions
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Outlook 2016 (32-bit edition)
• Microsoft Office LTSC 2021 for 32-bit editions

La segunda vulnerabilidad identificada como CVE-2023-24880 con puntuación CVSS de 5.4, es una falla de omisión de la característica de seguridad de Windows SmartScreen que se puede usar para crear ejecutables que omiten la advertencia de seguridad de Windows Mark of the Web (MOTW).

Un atacante puede crear un archivo malicioso que le permita evadir las defensas de MOTW, lo que significa que no se activarán medidas de protección como Windows SmartScreen y Microsoft Office Protected View, dando como resultado una pérdida limitada de integridad y disponibilidad.

Después de analizar la vulnerabilidad, Google TAG determinó que se trataba de un bypass a un CVE-2022-44698 de día cero anterior reparado por Microsoft en diciembre.

Productos afectados

• Windows Server 2022 (Server Core installation)
• Windows Server 2022
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 11 version 21H2 for ARM64-based Systems
• Windows 11 version 21H2 for x64-based Systems
• Windows 10 Version 20H2 for ARM64-based Systems
• Windows 10 Version 20H2 for 32-bit Systems
• Windows 10 Version 20H2 for x64-based Systems
• Windows Server 2019 (Server Core installation)
• Windows Server 2019
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows Server 2016 (Server Core installation)
• Windows Server 2016
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 Version 22H2 for x64-based Systems
• Windows 11 Version 22H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems

La lista completa de vulnerabilidades corregidas en la actualización del martes de parches de marzo 2023 se puede revisar en la página oficial de Windows.

Recomendaciones

• Aplicar lo antes posible el parche de actualización de Windows Update.

Referencias

• https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24880