Patch Tuesday Microsoft de diciembre, corrige 34 vulnerabilidades

En su actualización programada para el martes de parches de diciembre de 2023, Microsoft informó 34 correcciones de seguridad. Entre ellas hay 1 Zero Day divulgado públicamente.

Del total de vulnerabilidades, 4 fueron catalogadas de severidad Crítica y 30 son catalogadas como Importantes. Adicionalmente existen 8 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo. 

Las vulnerabilidades se pueden clasificar de la siguiente forma:

• 8 Vulnerabilidades de ejecución remota de código
• 10 Vulnerabilidades elevación de privilegios
• 6 Vulnerabilidades de divulgación de información
• 5 Vulnerabilidades de suplantación de identidad
• 5 Vulnerabilidades de denegación de servicio

CVE-2023-20588
Aviso de seguridad sobre fugas especulativas de AMD
 

La vulnerabilidad es un error de división por cero en procesadores AMD específicos que potencialmente podría devolver datos confidenciales.

La falla se reveló en agosto de 2023 y AMD no proporcionó ninguna solución más que recomendar la siguiente mitigación. Los desarrolladores pueden mitigar este problema asegurándose de que no se utilicen datos privilegiados en las operaciones de división antes de cambiar los límites de privilegios. AMD cree que el impacto potencial de esta vulnerabilidad es bajo porque requiere acceso local.

CVE-2023-35628  [CVSSv3.1: 8.1]
Vulnerabilidad de ejecución remota de código en la plataforma Windows MSHTML

La explotación de esta vulnerabilidad requiere que un atacante envíe un enlace malicioso a la víctima por correo electrónico, o que convenza al usuario de hacer clic en el enlace, normalmente mediante una incitación en un correo electrónico o mensaje de mensajería instantánea. En el peor de los casos, un atacante podría enviar un correo electrónico especialmente diseñado al usuario sin necesidad de que la víctima lo abra, lea o haga clic en el enlace. Esto podría provocar que el atacante ejecute código remoto en la máquina de la víctima. Cuando se pueden utilizar múltiples vectores de ataque, asignamos una puntuación según el escenario con mayor riesgo.

La explotación exitosa de esta vulnerabilidad dependería de complejas técnicas de configuración de memoria para intentar un ataque.

CVE-2023-35630 [CVSSv3.1: 8.8]
Vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS)

Este ataque se limita a sistemas conectados al mismo segmento de red que el atacante. El ataque no se puede realizar a través de múltiples redes (por ejemplo, una WAN) y se limitaría a sistemas en el mismo conmutador de red o red virtual.

La explotación exitosa de esta vulnerabilidad requiere que el atacante modifique un campo de opción->longitud en un mensaje de entrada DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST.

CVE-2023-35641  [CVSSv3.1: 8.8]
Vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS)

Este ataque se limita a sistemas conectados al mismo segmento de red que el atacante. El ataque no se puede realizar a través de múltiples redes (por ejemplo, una WAN) y se limitaría a sistemas en el mismo conmutador de red o red virtual.

Para aprovechar esta vulnerabilidad, un atacante necesitaría enviar un mensaje DHCP creado con fines malintencionados a un servidor que ejecute el servicio de conexión compartida a Internet.

CVE-2023-36019 [CVSSv3.1: 9.6]
Vulnerabilidad de suplantación de identidad del conector Microsoft Power Platform

El usuario tendría que hacer clic en una URL especialmente diseñada para ser comprometido por el atacante.

La vulnerabilidad está en el servidor web, pero los scripts maliciosos se ejecutan en el navegador de la víctima en su máquina.

Microsoft notificó a los clientes afectados sobre este cambio de comportamiento a través del Centro de administración de Microsoft 365 (MC690931) o Service Health en el Portal de Azure (3_SH-LTG) a partir del 17 de noviembre de 2023. Deberá validar sus conectores personalizados y seguir las instrucciones para realizar el cambio al URI por conector.

Otras vulnerabilidades que se deben revisar

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Revisar las soluciones alternativas que entrega Microsoft en cada uno de sus avisos de seguridad.