Vulnerabilidades de Seguridad en Microsoft Visual Studio

Hoy, dos vulnerabilidades de seguridad han puesto en una posición comprometida a uno de los productos más reconocidos de Microsoft, para ser más específicos, Microsoft Visual Studio. Estas vulnerabilidades, han sido identificadas como de ejecución remota de código (RCE) y denegación de servicio (DDoS), planteando una amenaza de alto riesgo para la empresa, ya hay altas probabilidades de que los atacantes aprovechen estas brechas en la seguridad y las exploten de manera perjudicial.

Microsoft Visual Studio es un entorno de desarrollo integrado (IDE) completo creado por Microsoft, es utilizada principalmente para desarrollar aplicaciones de software ya sea móviles, programas de escritorios, aplicaciones web, entre otras posibilidades. Gracias a la amplia gama de características y lenguajes que ofrece se ha logrado consolidado como una herramienta esencial por numerosos desarrolladores de software.

Detalle de las vulnerabilidades.

CVE-2023-38180 (calificaciones CVSS: 7.5): 

Esta vulnerabilidad relacionada con los ataques de denegación de servicios (DDoS) pueden conducir a una disrupción en la funcionalidad normal del IDE, ocasionando inconvenientes y posiblemente reducciones en la productividad para los desarrolladores que dependen esta herramienta para su trabajo diario.

CVE-2023-35390 (calificaciones CVSS: 7):

Esta vulnerabilidad de ejecución remota de código (RCE) puede permitir a los atacantes tomar el control del sistema, ya sea mediante cuentas creadas por ellos o al engañar a usuarios para abrir archivos maliciosos. Esto podría causar interrupciones en el trabajo de desarrolladores, pérdida de datos y proyectos, exposición de información confidencial y daños a la reputación de la empresa.

Productos Afectados y soluciones:

Productos afectados	Soluciones
Microsoft Visual Studio 2022 versión 17.6 y anteriores	Versión 17.7.1
Microsoft Visual Studio 2022 versión 17.4 y anteriores	Versión 17.7.1
Microsoft Visual Studio 2022 versión 17.2 y anteriores	Versión 17.7.1
.NET 7.0 y anteriores	Versión 7.0.10
NET 6.0 y anteriores	Versión 6.0.21
ASP.NET Core 2.1 y anteriores	Versión 2.1.40

Recomendación:

• Es aconsejable instalar las actualizaciones del fabricante desde fuentes oficiales. Antes de hacerlo, evalúe cómo puede afectar a los servicios cruciales de su negocio.

Referencias:

• https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NWVZFKTLNMNKPZ755EMRYIA6GHFOWGKY/

• https://learn.microsoft.com/es-es/visualstudio/get-started/visual-studio-ide?view=vs-2022

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35390

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35390

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38180