Vulnerabilidades

Vulnerabilidades 0-day en productos de Microsoft

17/03/2023
Microsoft liberó un parche de seguridad para mitigar 80 vulnerabilidades, nueve de ellas son críticas y dos categorizadas como “0-day” una de severidad crítica (CVE-2023-23397) y la otra media (CVE-2023-24880).
Imagen descriptiva de vulnerabilidades en Microsoft

Estas vulnerabilidades permiten, a quien ataca, la elevación de privilegios que afecta a Microsoft Outlook y un bypass de seguridad que afecta a los productos Microsoft Windows 10, 11 y Server.

CVE-2023-23397

Existen diversas pruebas de concepto públicas en Internet; las dos vulnerabilidades están siendo activamente explotadas. Se recomienda actualizar a las versiones sugeridas por el desarrollador lo antes posible.

Detalles técnicos

Productos Afectados

Versiones

Microsoft Outlook

  • 2013 SP1 (32 y 64 bits)

  • 2013 RT SP1

  • 2016 (32 y 64 bits)

‍Microsoft Office

  • 2019 (32 y 64 bits)

  • LTSC 2021 (32 y 64 bits)

Microsoft 365

  • Apps for Enterprise (32 y 64 bits)

CVE-2023-23397

Catalogada como “0-day” con severidad crítica (CVSS:3.1=9.8), es una vulnerabilidad de elevación de privilegios y permite a quien ataca, sin estar autenticado, enviár un correo electrónico malicioso a una versión vulnerable de Microsoft Outlook para obtener el hash Net-NTLMv2 del destinatario del correo electrónico.

Quien ataca puede usar este hash para realizar un ataque de retransmisión NTLM (NTLM relay attack) y autenticarse en otros servicios haciendose pasar por la victima.

Esta vulnerabilidad no requiere la interacción del usuario y se activa una vez que el cliente vulnerable de Outlook recibe el correo electrónico malicioso.

Sobre esta vulnerabilidad existen diversas pruebas de concepto públicas en Internet y actualmente esta siendo explotada activamente.

Detalles técnicos

Productos Afectados

Versiones

Windows 10

  • 1607 (32 y 64 bits)

  • 1809 (ARM64, 32 y 64 bits)

  • 20H2 (ARM64, 32 y 64 bits)

  • 21H2 (ARM64, 32 y 64 bits)

  • 22H2 (ARM64, 32 y 64 bits)

‍Windows 11

  • 21H2 (ARM64 y 64 bits)

  • 22H2 (ARM64 y 64 bits)

‍Windows Server

  • 2016

  • 2019

  • 2022

CVE-2023-24880

Catalogada como “0-day” con severidad media (CVSS:3.1=5.4), es una vulnerabilidad de bypass de seguridad y se produce por una falla de omisión de seguridad en Windows Smartscreen.

Windows Smartscreen es una herramienta de Microsoft Defender que identifica sitios web notificados como phishing o malware.

Quien ataca puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), evadiendo funciones de seguridad como la “Vista protegida” en Microsoft Office, que se basan en el etiquetado MOTW.

Esta vulnerabilidad actualmente esta siendo explotada activamente.

Recomendaciones

Detección

Para la vulnerabilidad CVE-2023-23397 Microsoft publicó un script y documentación para auditar los equipos de la organización en el siguiente enlace.

Mitigación

Recomendamos a los administradores instalar las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft, como se indica en el enlace.

Referencias

Advisor de Microsoft – CVE-2023-23397

Advisor de Microsoft – CVE-2023-24880

Blog de Microsoft - CVE-2023-23397

Mitre CVE-2023-23397

Mitre CVE-2023-24880

Etiquetas

Amenazas y alertas Comunidad Técnica