Búsqueda de Ciberamenazas

Lluvia de parches de Microsoft en noviembre

Una colección de 57 CVE para doce familias de productos es, literalmente, solo la mitad de la historia de este mes
Escrito por
20 noviembre 2023
Threat Research Actualizacion Microsloft Patch Tuesday

Microsoft publicó el martes parches para 57 vulnerabilidades, incluidas 31 para Windows. También están afectados otros 11 grupos de productos. De las 57 CVE abordadas, solo 3 se consideran de gravedad Crítica, 2 de ellas están en Windows, mientras que la tercera recae en Azure. Un CVE, un problema de elevación de privilegios clasificado como Importante (CVE-2023-36049), afecta tanto a .NET como a Visual Studio; otro EoP de gravedad Importante afecta a .NET, Visual Studio y también a ASP.NET.

Al cierre de esta edición, se sabía que tres problemas de Windows estaban siendo explotados. O, dependiendo de cómo cuentes estas cosas, hay cuatro, como comentaremos en la sección Actualizaciones destacadas de noviembre, más adelante. Otras 10 vulnerabilidades en Windows, Exchange, Office y SharePoint tienen, según la empresa, tienen más probabilidades de ser explotadas en los próximos 30 días, con la vulnerabilidad de Office (CVE-2023-36413, un desvío de una función de seguridad) ya revelada públicamente.

Además de los 57 CVE, Microsoft enumera un aviso oficial, ADV990001, que cubre sus últimas actualizaciones de la pila de servicios. Sin embargo, la lista de avisos solo-informativos es extensa este mes. Además de los 21 CVE que afectan a Edge/Chromium (seis de ellos específicos de Edge), hay información sobre un problema de todo el sector que afecta a BlueTooth; un problema relacionado con HTTP/2, actualmente en explotación activa, que afecta a Windows, ASP.NET, .NET y Visual Studio; cinco problemas relacionados con CBL-Mariner cubiertos por CVE de Kubernetes, Red Hat y MITRE; 17 parches de Adobe para Acrobat Reader, y otros siete parches de Adobe para ColdFusion. No incluimos estos 53 problemas en los recuentos y gráficos de CVE que figuran a continuación.

Además de todo esto, Windows Server 2022, Edición 23H2 (instalación Server Core) se publica como parte de esta actualización.

En cifras

  • Total de CVE de Microsoft: 57
  • Total de avisos de Microsoft incluidos en la actualización: 1
  • Total de otros avisos cubiertos en la actualización: 52
  • Divulgados públicamente: 3
  • Explotados: 3 más uno en asesoramiento ajeno a Microsoft
  • Gravedad
    • Crítica: 3
    • Importante: 54
  • Impacto
    • Elevación de privilegios: 17
    • Ejecución remota de código: 16
    • Suplantación de identidad: 9
    • Divulgación de información: 6
    • Anulación de funciones de seguridad: 5
    • Denegación de servicio: 4
A bar chart showing the impact and severity of November 2023's patches; the same information is given in the text
Figura 1: este mes, para variar, los problemas de elevación de privilegios fueron ligeramente más frecuentes que la ejecución remota de código; la suplantación de identidad también tiene una gran presencia

Productos

  • Windows: 31
  • Dynamics 365: 5
  • Exchange: 4
  • Office: 4
  • Visual Studio: 4, incluyendo uno compartido con .NET y uno compartido con ASP.NET y .NET
  • ASP.NET: 3, incluido uno compartido con .NET y Visual Studio
  • Azure: 3
  • .NET: 2 (una compartida con Visual Studio y otra compartida con ASP.NET y Visual Studio)
  • Defender: 1
  • Host Integration Server: 1
  • Pasarela de datos local: 1
  • SharePoint: 1
A bar chart showing the products affected by November 2023's patches; the same information is given in the text
Figura 2: Windows, como de costumbre, se lleva la mayor parte de los parches de noviembre, pero hay una variedad bastante amplia de productos más especializados afectados. (En el caso de parches que afectan a más de un producto, cada instancia se representa en este gráfico; por ejemplo, CVE-2023-36049, que afecta tanto a Visual Studio como a .NET, se cuenta una vez para cada uno de los dos)

Actualizaciones destacadas de noviembre

Además de los problemas comentados anteriormente, se presentan algunos elementos interesantes.

CVE-2023-36025 – Vulnerabilidad de elusión de la función de seguridad de Windows SmartScreen

Este mes hay tres (o cuatro, hablaremos de ello más adelante) CVE de Windows cuya explotación activa se ha detectado. Este, una vulneración de una función de seguridad de clase Importante tiene las puntuaciones CVSS base y temporal más altas (Base 8,8 / Temporal 8,2) del trío. Todo lo que se necesita es una URL maliciosa, y el atacante es capaz de eludir las comprobaciones de SmartScreen de Windows Defender y los avisos que el usuario esperaría ver con ellas.

CVE-2023-36397 – Vulnerabilidad de ejecución remota de código en la multidifusión general pragmática (PGM) de Windows

¿Está activada la cola de mensajes en tu sistema? Esta vulnerabilidad, que puede ser activada por un atacante que envíe un archivo malintencionadamente diseñado a través de la red, es de gravedad crítica (CVSS 3.1 9.8/8.5) y puede dar lugar a un RCE. Además de las otras protecciones publicadas al respecto, Microsoft señala que los usuarios pueden comprobar su exposición comprobando si se está ejecutando el servicio llamado Cola de mensajes, y si el puerto TCP 1801 está en modo de escucha.

CVE-2020-8554, CVE-2023-46753, CVE-2023-46316, CVE-2020-14343, CVE-2020-1747 (5 CVEs)

Estos cinco CVE no forman parte del comunicado oficial de Microsoft, pero nadie que utilice el CBL-Mariner (Common Base Linux Mariner) de Microsoft debería dormirse en los laureles. CBL-Mariner es la propia distribución Linux de Microsoft, desarrollada en un principio internamente para el desarrollo interno y la gestión de Azure. La distro se puso discretamente a disposición del público el año pasado. Ninguna de las tres CVE procede directamente de Microsoft, sino de Kubernetes (CVE-2020-8554), Red Hat (CVE-2020-14343, CVE-2020-1747) y MITRE (CVE-2023-46316, CVE-2023-46753). Debido a la aparente antigüedad de varias de estas CVE y a su gravedad (tres de las cinco tienen una puntuación base CVSS de 9,8 sobre 10), se recomienda a los usuarios que se actualicen.

CVE-2023-24023 – MITRE: CVE-2023-24023 Vulnerabilidad de suplantación de identidad en Bluetooth

CVE-2023-44487 – MITRE: CVE-2023-44487 Ataque de reinicio rápido HTTP/2

Hablando de MITRE, la organización aparece en otras dos CVE sobre las que Microsoft está publicando información. Como era de esperar, las CVE del MITRE son aplicables a muchas empresas, no solo a Microsoft. La CVE-2023-24023 cubre una vulnerabilidad de suplantación de identidad de gravedad importante de la que se ha informado al órgano de gobierno de BlueTooth. En cuanto a la CVE-2023-44487, esta CVE repite inusualmente en la lista del Martes de Parches; los lectores recordarán que hablamos de este problema de Reinicio Rápido en el resumen del mes pasado. Afecta a Windows, ASP.NET, .NET y Visual Studio.

A bar chart showing the cumulative totals of Microsoft's 2023 patches
Figura 3: a falta de un mes para que finalice 2023, el recuento de lanzamientos de parches de ejecución remota de código alcanza los 300. Mientras tanto, apenas se ve, pero el primer problema de divulgación de información de nivel crítico del año aparece en el gráfico

Protecciones de Sophos

CVE Sophos Intercept X/Endpoint IPS Sophos XGS Firewall
CVE-2023-36033 Exp/2336033-A Exp/2336033-A
CVE-2023-36036 Exp/2336036-A Exp/2336036-A
CVE-2023-36394 Exp/2336394 Exp/2336394
CVE-2023-36399 Exp/2336399-A Exp/2336399-A
CVE-2023-36413 sid:2309050 sid:2309050
CVE-2023-36424 Exp/2336424-A Exp/2336424-A

Como todos los meses, si no quieres esperar a que tu sistema descargue por sí mismo las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación específicos de tu sistema.

Acerca del autor

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *