Microsoft ha publicado este mes parches para 38 CVE, entre ellos tres vulnerabilidades de día cero.

Aunque la ronda de actualizaciones del martes de parches de este mes es una de las más reducidas del año, los expertos advierten de que los administradores de sistemas deben actuar con rapidez para parchear las vulnerabilidades de día cero, dos de las cuales están siendo explotadas activamente.

El primero es CVE-2023-29336, una vulnerabilidad de elevación de privilegios en Win32k que otorga al atacante privilegios de sistema, permitiéndole escalar los derechos de acceso. Aunque un atacante tiene que poseer primero privilegios básicos en un sistema, esto es bastante fácil de hacer a través de un ataque de phishing o recolección de credenciales.

«Tiene un vector de ataque local, lo que significa que el atacante necesita acceso al sistema objetivo. La complejidad del ataque es baja, ya que requiere privilegios mínimos y ninguna interacción con el usuario», explicó Mike Walters, vicepresidente de investigación de vulnerabilidades y amenazas de Action1.

«Por el momento, no existen soluciones alternativas, por lo que la instalación de las actualizaciones es la forma más eficaz de mitigar el riesgo y garantizar la seguridad de los sistemas».

La segunda CVE que se está explotando activamente es la CVE-2023-24932: un fallo de baja complejidad que evita la función de seguridad de arranque seguro y que tampoco requiere interacción del usuario.

Un atacante necesitaría acceso físico o de administrador a un sistema de destino para explotar la vulnerabilidad con calificación CVSS 6.7, dijo Walters.

«La explotación exitosa de esta vulnerabilidad permite a un atacante eludir el arranque seguro, permitiendo así la carga de controladores maliciosos o malware sin firmas de confianza de Microsoft durante el arranque de Windows», explicó.

«Para solucionar esta vulnerabilidad, se ha publicado una actualización de seguridad que actualiza el Administrador de arranque de Windows. Sin embargo, es importante señalar que esta actualización no está activada por defecto. Para mitigar la vulnerabilidad, hay que seguir tres pasos esenciales detallados en el artículo de Microsoft KB5025885.»

El último día cero parcheado este mes es CVE-2023-29325: un fallo crítico de ejecución remota de código en Windows OLE. Existe una prueba de concepto del fallo, lo que significa que los ataques no tardarán en producirse.

«Con esta vulnerabilidad, el simple hecho de echar un vistazo a un correo electrónico malicioso cuidadosamente diseñado en el panel de vista previa de Outlook es suficiente para permitir la ejecución remota de código y comprometer potencialmente el ordenador del destinatario», explicó Yoav Iellin, investigador senior de Silverfort.