Vulnerabilidades

Múltiples vulnerabilidades en productos Microsoft

18/04/2023
Microsoft liberó un parche de seguridad para mitigar 97 vulnerabilidades, siete de ellas con severidad crítica y una categorizada como “0-day” (CVE-2023-28252) que afecta a los productos Microsoft Windows 10, 11 y Server. Esta vulnerabilidad (CVE-2023-28252) permite a quien ataca, la elevación de privilegios utilizando un error en el driver del sistema de Windows Common Log File System (CLFS).
Logos de los servicios de Microsoft sobre un fondo transparente de una mano en un teclado

Aunque todavía no se conocen exploits públicos o pruebas de concepto, esta vulnerabilidad está siendo activamente explotada.

Detalles técnicos

Productos Afectados

Versiones

Windows 10

  • 22H2 (32 y 64 bits) x64/ARM64

  • 21H2 (32 y 64 bits) x64/ARM64

  • 20H2 (32 y 64 bits) x64/ARM64

‍Windows 11

  • 22H2 x64/ARM64

  • 21H2 x64/ARM64

Windows server

  • 2022

  • 2019

  • 2016

  • 2012

  • 2008

    CVE-2023-28252

    Catalogada como “0-day” con severidad alta (CVSS:3.1=7.8), es una vulnerabilidad de elevación de privilegios debido a una falla en el sistema Windows Common Log File System. Teniendo una cuenta de usuario, esta vulnerabilidad permite a quien ataca elevar sus privilegios a nivel de sistema y obtener el control del sistema afectado.

    CVE-2023-28250 - CVE-2023-21554

    Estas dos vulnerabilidades con severidad crítica (CVSS:3.1=9.8), se producen cuando el servicio de Message Queue Server de Windows está habilitado. Quien ataca envia un paquete MSMQ malicioso especialmente diseñado a un servidor MSMQ que podría resultar en la ejecución remota de código en el servidor.

    CVE-2023-28231

    Esta vulnerabilidad con severidad alta (CVSS:3.1=8.8), puede permitir a quien ataca enviar una llamada RPC especialmente diseñada al servicio DHCP. La explotación exitosa de esta vulnerabilidad requiere que quien ataca cuente con acceso a la red restringida antes de ejecutar el ataque.

    CVE-2023-28291

    La vulnerabilidad con severidad alta (CVSS:3.1=8.4), para ser explotada requiere iniciar sesión en el sistema. Quien ataca podría ejecutar una aplicación especialmente diseñada que podría explotar la vulnerabilidad y tomar el control de un sistema afectado.

    Asimismo, a través de ingenieria social, sería posible convencer a una persona usuaria de realizar la descarga y posterior ejecución de un archivo especificamente diseñado para explotar la vulnerabilidad.

    CVE-2023-28219 - CVE-2023-28220

    Estas dos vulnerabilidades con severidad alta (CVSS:3.1=8.1), permiten, sin la necesidad de estar autenticado, enviar una solicitud de conexión especialmente diseñada a un servidor RAS, lo que podría provocar la ejecución remota de código (RCE) en el servidor RAS.

    Recomendaciones

    Detección

    Para la vulnerabilidad CVE-2023-28252 se encontró a presencia de los siguientes archivos en el directorio “C:\Users\Public\” :

    • C:\Users\Public\.container*

    • C:\Users\Public\MyLog*.blf

    • C:\Users\Public\p_*

    Mitigación

    Instamos a las personas administradoras a instalar las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft.

    Referencias

    Advisor de Microsoft – CVE-2023-28252

    Advisor de Microsoft – CVE-2023-28291

    Advisor de Microsoft – CVE-2023-21554

    Advisor de Microsoft – CVE-2023-28250

    Advisor de Microsoft – CVE-2023-28231

    Advisor de Microsoft – CVE-2023-28291

    Advisor de Microsoft – CVE-2023-28219

    Advisor de Microsoft – CVE-2023-28220

    Etiquetas

    Amenazas y alertas Comunidad Técnica