Microsoft publica actualizaciones de seguridad para más de 100 vulnerabilidades descubiertas en sistema Windows.
Microsoft publicó actualizaciones de seguridad para más de 100 vulnerabilidades recientemente descubiertas en su sistema operativo Windows y software relacionado, incluidas cuatro fallas que ya están siendo explotadas. Además, Apple lanzó recientemente actualizaciones de emergencia para solucionar un par de errores de día cero en iOS .
La semana pasada, Apple envió actualizaciones de emergencia en iOS 17.0.3 y iPadOS 17.0.3 en respuesta a ataques activos. El parche corrige CVE-2023-42724 , que los atacantes han estado utilizando en ataques dirigidos para mejorar su acceso en un dispositivo local.
Apple dijo que también parcheó CVE-2023-5217 , que no figura como un error de día cero. Sin embargo, como señaló Bleeping Computer , esta falla es causada por una debilidad en la biblioteca de códecs de video de código abierto “ libvpx ”, que anteriormente fue parcheada como una falla de día cero por Google en el navegador Chrome y por Microsoft en Edge , Teams. y productos de Skype . Para cualquiera que lleve la cuenta, esta es la decimoséptima falla de día cero que Apple ha solucionado en lo que va del año.
Afortunadamente, los días cero que afectan a los clientes de Microsoft este mes son algo menos graves de lo habitual, con la excepción de CVE-2023-44487 . Esta debilidad no es específica de Windows, sino que existe dentro del protocolo HTTP/2 utilizado por la World Wide Web: los atacantes han descubierto cómo utilizar una característica de HTTP/2 para aumentar masivamente el tamaño de los ataques de denegación de servicio distribuidos (DDoS). ) ataques, y estos ataques de monstruos supuestamente han estado ocurriendo durante varias semanas.
Amazon , Cloudflare y Google publicaron hoy avisos sobre cómo abordan CVE-2023-44487 en sus entornos de nube. Damian Menscher de Google escribió en Twitter/X que el exploit, denominado “ ataque de reinicio rápido ”, funciona enviando una solicitud y luego cancelándola inmediatamente (una característica de HTTP/2). “Esto permite a los atacantes evitar la espera de respuestas, lo que resulta en un ataque más eficiente”, explicó Menscher.
Natalie Silva , ingeniera de seguridad líder en Immersive Labs , dijo que el impacto de esta falla en los clientes empresariales podría ser significativo y provocar un tiempo de inactividad prolongado.
“Es crucial que las organizaciones apliquen los últimos parches y actualizaciones de sus proveedores de servidores web para mitigar esta vulnerabilidad y protegerse contra este tipo de ataques”, dijo Silva. En el lanzamiento del martes de parches de Microsoft de este mes, lanzaron una actualización de esta vulnerabilidad y una solución temporal en caso de que no pueda aplicar el parche de inmediato”.
Microsoft también corrigió errores de día cero en Skype Empresarial ( CVE-2023-41763 ) y Wordpad ( CVE-2023-36563 ). Esta última vulnerabilidad podría exponer los hashes NTLM , que se utilizan para la autenticación en entornos Windows.
“Puede que sea una coincidencia o no que Microsoft haya anunciado el mes pasado que WordPad ya no se actualizará y que se eliminará en una versión futura de Windows, aunque aún no se ha dado un cronograma específico”, dijo Adam Barnett, ingeniero jefe de software . en Rapid7 . “Como era de esperar, Microsoft recomienda Word como reemplazo de WordPad”.
Otros errores notables solucionados por Microsoft incluyen CVE-2023-35349 , una debilidad de ejecución remota de código en el servicio Message Queuing (MSMQ), una tecnología que permite que las aplicaciones en múltiples servidores o hosts se comuniquen entre sí. Esta vulnerabilidad obtuvo una puntuación de gravedad CVSS de 9,8 (10 es el peor posible). Afortunadamente, el servicio MSMQ no está habilitado de forma predeterminada en Windows, aunque Immersive Labs señala que Microsoft Exchange Server puede habilitar este servicio durante la instalación.
Hablando de Exchange, Microsoft también parchó CVE-2023-36778 , una vulnerabilidad en todas las versiones actuales de Exchange Server que podría permitir a los atacantes ejecutar el código de su elección. Barnett de Rapid7 dijo que la explotación exitosa requiere que el atacante esté en la misma red que el host de Exchange Server y use credenciales válidas para un usuario de Exchange en una sesión de PowerShell.
Para obtener un desglose más detallado de las actualizaciones publicadas hoy, consulte el resumen de SANS Internet Storm Center . Si las actualizaciones de hoy causan algún problema de estabilidad o usabilidad en Windows, AskWoody.com probablemente tendrá toda la información al respecto.
Considere hacer una copia de seguridad de sus datos y/o crear imágenes de su sistema antes de aplicar cualquier actualización. Y siéntete libre de comentar en los comentarios si experimentas alguna dificultad como resultado de estos parches.
También puede interesarte leer: Detecta si un documento de Office posee código malicioso