Microsoft realiza actualizaciones de seguridad con su Patch Tuesday de octubre de 2023 en el que se aborda más de 100 fallas, entre las cuales se encuentran 3 vulnerabilidades de Zero Day explotadas activamente.
Entre las fallas corregidas también se tienen 12 vulnerabilidades que han sido catalogadas con severidad “Crítica” ya que podrían permitir, a los actores maliciosos, la ejecución de código remoto.
Categorías de las vulnerabilidades abordadas
- Vulnerabilidades de ejecución remota de código.
- Vulnerabilidades de denegación de servicio.
- Vulnerabilidades de elevación de privilegios.
- Vulnerabilidades de omisión de características de seguridad.
- Vulnerabilidades de divulgación de información.
- Vulnerabilidades de suplantación de identidad.
Vulnerabilidades de Zero Day
Microsoft clasifica una vulnerabilidad como de día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible.
La primera vulnerabilidad de Zero Day identificada como CVE-2023-41763 y un puntaje CVSS de 5.3 es una falla de elevación de privilegios en Skype Empresarial.
Microsoft indica que un atacante podría realizar una llamada de red especialmente diseñada al servidor de Skype Empresarial de destino, lo que podría provocar el análisis de una solicitud http realizada a una dirección arbitraria. Esto podría revelar direcciones IP o números de puerto, o ambos, al atacante. Esta vulnerabilidad no compromete la integridad ni la disponibilidad del componente afectado, sin embargo, hay que tomar en consideración que la información expuesta podría dar paso a que los atacantes tengan acceso a redes internas.
La segunda vulnerabilidad de Zero Day identificada como CVE-2023-36563 y un puntaje CVSS de 6.5 es una falla de divulgación de información en Microsoft WordPad.
Esta vulnerabilidad se puede utilizar para robar hashes NTLM al abrir un documento en WordPad, incluso en el panel de vista previa, estos hashes se pueden descifrar o utilizar en ataques de retransmisión NTLM para obtener acceso a la cuenta.
Microsoft indica que, para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema. Luego, un atacante podría ejecutar una aplicación especialmente diseñada para aprovechar la vulnerabilidad y tomar el control de un sistema afectado.
Además, un atacante podría convencer a un usuario local para que abra un archivo malicioso. El atacante tendría que convencer al usuario de que haga clic en un enlace, generalmente mediante un mensaje de correo electrónico o mensaje instantáneo, y luego convencerlo de que abra el archivo especialmente diseñado.
La tercera vulnerabilidad de Zero Day identificada como CVE-2023-44487, sin un puntaje CVSSasignado, es una falla de denegación de servicio (DDoS).
Microsoft ha publicado mitigaciones para una nueva técnica de ataque DDoS de día cero llamada HTTP/2 Rapid Reset que ha sido explotada activamente desde agosto, este ataque abusa de la función de cancelación de transmisión de HTTP/2 para enviar y cancelar solicitudes continuamente, abrumando al servidor/aplicación de destino e imponiendo un estado DoS.
Como la función está integrada en el estándar HTTP/2, no existe ninguna «solución» para la técnica que se pueda implementar aparte de limitar la velocidad o bloquear el protocolo.
Los pasos de mitigación de Microsoft en el aviso son deshabilitar el protocolo HTTP/2 en su servidor web. También proporcionaron un artículo dedicado a HTTP/2 Rapid Reset, con más información.
Vulnerabilidades de severidad crítica abordadas
A continuación, se muestra la lista de vulnerabilidades que Windows considera con severidad crítica.
| CVE | CVSS | Tipo de vulnerabilidad |
| CVE-2023-35349 | 9.8 | Vulnerabilidad de ejecución remota de código de Microsoft Message Queue Server |
| CVE-2023-36697 | 6.8 | Vulnerabilidad de ejecución remota de código de Microsoft Message Queue Server |
| CVE-2023-41770 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41765 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41767 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-38166 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41774 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41773 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41771 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41769 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-41768 | 8.1 | Vulnerabilidad de ejecución remota de código del protocolo de túnel de capa 2 |
| CVE-2023-36718 | 7.8 | Vulnerabilidad de ejecución remota de código del módulo de plataforma segura virtual de Microsoft |
Si desea verificar los aplicativos y sistemas operativos que aborda el Patch Tuesday puede ingresar a la página oficial de Microsoft.
Los usuarios de Windows pueden instalar la actualización del Patch Tuesday siguiendo los siguientes pasos:
- Ir a Inicio > Configuración > Actualización de Windows.
- Hacer clic en «Buscar actualizaciones».
- Instalar las actualizaciones.
Recomendaciones
- Los usuarios del sistema operativo Windows deben implementar las actualizaciones de seguridad lo antes posible, para estar protegidos de los riesgos potenciales.
Referencias
- https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-41763
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-36563
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-44487