Microsoft ha lanzado su nueva ronda de actualizaciones de seguridad del Martes de Parches de Noviembre de 2023, que abarca correcciones para un total de 58 fallas y cinco vulnerabilidades de día cero.
Las tres fallas críticas resueltas en la actualización de hoy son un error de divulgación de información de Azure, un RCE en la Conexión Compartida a Internet (ICS) de Windows y una falla de escape de Hyper-V que permite la ejecución de programas en el host con privilegios de SISTEMA.
A continuación se presenta un desglose de errores por categoría de vulnerabilidad:
- 16 Vulnerabilidades de elevación de privilegios.
- 6 Vulnerabilidades de omisión de funciones de seguridad.
- 15 Vulnerabilidades de ejecución remota de código.
- 6 Vulnerabilidades de divulgación de información.
- 5 Vulnerabilidades de denegación de servicio.
- 11 Vulnerabilidades de suplantación de identidad.
Estos Parches ha corregido cinco vulnerabilidades de día cero, de las cuales tres han sido explotadas en ataques y tres han sido divulgadas públicamente. Microsoft define una vulnerabilidad de día cero como aquel fallo que es divulgado públicamente o explotado activamente sin que exista una solución oficial disponible.
Las tres vulnerabilidades de día cero activamente explotadas corregidas en las actualizaciones de hoy son:
- CVE-2023-36036: Vulnerabilidad de elevación de privilegios del controlador del minifiltro de archivos en la nube de Windows. Microsoft ha resuelto un error de elevación de privilegios en este controlador que estaba siendo activamente explotado. Aún se desconoce cómo se aprovechaba esta falla en los ataques o qué actor de amenaza estaba detrás de ellos. El fallo fue descubierto internamente por el Centro de Respuesta de Seguridad de Microsoft Threat Intelligence.
- CVE-2023-36033: Vulnerabilidad de elevación de privilegios en la biblioteca principal DWM de Windows. Microsoft ha resuelto una vulnerabilidad en la biblioteca principal DWM de Windows que estaba siendo explotada activamente y había sido divulgada públicamente. Esta vulnerabilidad podría utilizarse para elevar privilegios a SISTEMA. Microsoft informó que la falla fue descubierta por Quan Jin(@jq0904) con DBAPPSecurity WeBin Lab, pero no proporcionó detalles sobre cómo fue usada en los ataques.
- CVE-2023-36025: Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows. Microsoft ha corregido un fallo en Windows SmartScreen que estaba siendo explotado activamente y que permitía que un acceso directo a Internet malicioso eludiera los controles y advertencias de seguridad. Microsoft informó que la falla fue descubierta por Will Metcalf (Splunk), Microsoft Threat Intelligence y el equipo de seguridad del grupo de productos de Microsoft Office.
Además, Microsoft ha indicado que otros dos errores de día cero divulgados públicamente, “CVE-2023-36413 – Vulnerabilidad de omisión de características de seguridad de Microsoft Office” y “CVE-2023-36038 – Vulnerabilidad de denegación de servicio de ASP.NET Core“, también han sido corregidos como parte de la actualización.
