En su actualización programada para el martes de parches de diciembre de 2023, Microsoft informó 34 correcciones de seguridad. Entre ellas hay 1 Zero Day divulgado públicamente.
Del total de vulnerabilidades, 4 fueron catalogadas de severidad Crítica y 30 son catalogadas como Importantes. Adicionalmente existen 8 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo.
Las vulnerabilidades se pueden clasificar de la siguiente forma:
CVE-2023-20588
Aviso de seguridad sobre fugas especulativas de AMD
La vulnerabilidad es un error de división por cero en procesadores AMD específicos que potencialmente podría devolver datos confidenciales.
La falla se reveló en agosto de 2023 y AMD no proporcionó ninguna solución más que recomendar la siguiente mitigación. Los desarrolladores pueden mitigar este problema asegurándose de que no se utilicen datos privilegiados en las operaciones de división antes de cambiar los límites de privilegios. AMD cree que el impacto potencial de esta vulnerabilidad es bajo porque requiere acceso local.
CVE-2023-35628 [CVSSv3.1: 8.1]
Vulnerabilidad de ejecución remota de código en la plataforma Windows MSHTML
La explotación de esta vulnerabilidad requiere que un atacante envíe un enlace malicioso a la víctima por correo electrónico, o que convenza al usuario de hacer clic en el enlace, normalmente mediante una incitación en un correo electrónico o mensaje de mensajería instantánea. En el peor de los casos, un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin necesidad de que la víctima lo abra, lea o haga clic en el enlace. Esto podría provocar que el atacante ejecute código remoto en la máquina de la víctima. Cuando se pueden utilizar múltiples vectores de ataque, asignamos una puntuación según el escenario con mayor riesgo.
La explotación exitosa de esta vulnerabilidad dependería de complejas técnicas de configuración de memoria para intentar un ataque.
CVE-2023-35630 [CVSSv3.1: 8.8]
Vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS)
Este ataque se limita a sistemas conectados al mismo segmento de red que el atacante. El ataque no se puede realizar a través de múltiples redes (por ejemplo, una WAN) y se limitaría a sistemas en el mismo conmutador de red o red virtual.
La explotación exitosa de esta vulnerabilidad requiere que el atacante modifique un campo de opción->longitud en un mensaje de entrada DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST.
CVE-2023-35641 [CVSSv3.1: 8.8]
Vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS)
Este ataque se limita a sistemas conectados al mismo segmento de red que el atacante. El ataque no se puede realizar a través de múltiples redes (por ejemplo, una WAN) y se limitaría a sistemas en el mismo conmutador de red o red virtual.
Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar un mensaje DHCP creado con fines malintencionados a un servidor que ejecute el servicio de conexión compartida a Internet.
CVE-2023-36019 [CVSSv3.1: 9.6]
Vulnerabilidad de suplantación de identidad del conector Microsoft Power Platform
El usuario tendría que hacer clic en una URL especialmente diseñada para ser comprometido por el atacante.
La vulnerabilidad está en el servidor web, pero los scripts maliciosos se ejecutan en el navegador de la víctima en su máquina.
Microsoft notificó a los clientes afectados sobre este cambio de comportamiento a través del Centro de administración de Microsoft 365 (MC690931) o Service Health en el Portal de Azure (3_SH-LTG) a partir del 17 de noviembre de 2023. Deberá validar sus conectores personalizados y seguir las instrucciones para realizar el cambio al URI por conector.
Otras vulnerabilidades que se deben revisar
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
CVE-2023-35628
CVE-2023-35630
CVE-2023-35641
CVE-2023-36019
CVE-2023-20588
CVE-2023-21740
CVE-2023-35619
CVE-2023-35621
CVE-2023-35622
CVE-2023-35624
CVE-2023-35625
CVE-2023-35629
CVE-2023-35631
CVE-2023-35632
CVE-2023-35633
CVE-2023-35634
CVE-2023-35635
CVE-2023-35636
CVE-2023-35638
CVE-2023-35639
CVE-2023-35642
CVE-2023-35643
CVE-2023-35644
CVE-2023-36003
CVE-2023-36004
CVE-2023-36005
CVE-2023-36006
CVE-2023-36009
CVE-2023-36010
CVE-2023-36011
CVE-2023-36012
CVE-2023-36020
CVE-2023-36391
CVE-2023-36696
CVE-2023-36880
CVE-2023-38174
CVE-2023-35618
CVE-2023-6508
CVE-2023-6509
CVE-2023-6510
CVE-2023-6511
CVE-2023-6512
Producto | Versión |
---|---|
Azure Connected Machine Agent |
. |
Azure Logic Apps |
. |
Azure Machine Learning SDK |
. |
Dynamics 365 for Finance and Operations Platform Update |
60 |
Microsoft Dynamics 365 (on-premises |
9.0 |
Microsoft Malware Protection Platform |
. |
Microsoft Office 2016 (64-bit edition) |
. |
Microsoft Office LTSC for Mac |
2021 |
Windows 11 Version 23H2 |
x64-based Systems |
Windows Server |
2012 R2 (Server Core installation) 2016 (Server Core installation) 2022 23H2 Edition (Server Core installation) |