Microsoft lanza parches para 132 vulnerabilidades, incluidas 6 bajo ataque activo

Microsoft lanzó el martes actualizaciones para abordar un total de 132 nuevas fallas de seguridad que abarcan su software, incluidas seis fallas de día cero que, según dijo, se han explotado activamente en la naturaleza.

De las 132 vulnerabilidades, nueve se califican como Críticas, 122 se califican como Importantes en gravedad y a una se le ha asignado una calificación de gravedad de «Ninguna». Esto se suma a los ocho defectos que el gigante tecnológico parchó en su navegador Edge basado en Chromium a fines del mes pasado.

La lista de problemas que han sido objeto de explotación activa es la siguiente:

• CVE-2023-32046 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios de la plataforma MSHTML de Windows
• CVE-2023-32049 (puntuación CVSS: 8,8): vulnerabilidad de omisión de la característica de seguridad de Windows SmartScreen
• CVE-2023-35311 (puntuación CVSS: 8,8): vulnerabilidad de omisión de la característica de seguridad de Microsoft Outlook
• CVE-2023-36874 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios del servicio de informe de errores de Windows
• CVE-2023-36884 (puntaje CVSS: 8.3): vulnerabilidad de ejecución remota de código HTML de Office y Windows (también conocida públicamente en el momento del lanzamiento)
• ADV230001 : uso malintencionado de controladores firmados por Microsoft para actividades posteriores a la explotación (sin CVE asignado)

El fabricante de Windows dijo que está al tanto de los ataques dirigidos contra entidades gubernamentales y de defensa en Europa y América del Norte que intentan explotar CVE-2023-36884 mediante el uso de señuelos de documentos de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania, haciéndose eco de los últimos hallazgos de BlackBerry.

«Un atacante podría crear un documento de Microsoft Office especialmente diseñado que le permita realizar la ejecución remota de código en el contexto de la víctima», dijo Microsoft. «Sin embargo, un atacante tendría que convencer a la víctima para que abra el archivo malicioso».

La compañía ha señalado la campaña de intrusión a un grupo ciberdelincuente ruso al que rastrea como Storm-0978, que también se conoce con los nombres RomCom, Tropical Scorpius, UNC2596 y Void Rabisu.

«El actor también implementa el ransomware Underground, que está estrechamente relacionado con el ransomware Industrial Spy observado por primera vez en la naturaleza en mayo de 2022», explicó el equipo de Microsoft Threat Intelligence . «La última campaña del actor detectada en junio de 2023 involucró el abuso de CVE-2023-36884 para entregar una puerta trasera con similitudes con RomCom».

Los recientes ataques de phishing organizados por el actor implicaron el uso de versiones troyanizadas de software legítimo alojado en sitios web similares para implementar un troyano de acceso remoto llamado RomCom RAT contra varios objetivos ucranianos y pro-ucranianos en Europa del Este y América del Norte.

Si bien RomCom se registró por primera vez como un grupo vinculado al ransomware Cuba, desde entonces se ha vinculado a otras cepas de ransomware como Industrial Spy , así como a una nueva variante llamada Underground a partir de julio de 2023, que muestra importantes superposiciones de código fuente con Industry Spy.

Microsoft dijo que tiene la intención de tomar «las medidas adecuadas para ayudar a proteger a nuestros clientes» en forma de una actualización de seguridad fuera de banda o mediante su proceso de lanzamiento mensual. En ausencia de un parche para CVE-2023-36884, la compañía insta a los usuarios a utilizar la regla de reducción de la superficie de ataque (ASR) » Bloquear todas las aplicaciones de Office para que no creen procesos secundarios» .

Redmond dijo además que revocó los certificados de firma de código utilizados para firmar e instalar controladores maliciosos en modo kernel en sistemas comprometidos al explotar una laguna en la política de Windows para alterar la fecha de firma de los controladores antes del 29 de julio de 2015, al hacer uso de herramientas de código abierto como HookSignTool y FuckCertVerifyTimeValidity.

Los hallazgos sugieren que el uso de controladores no autorizados en modo kernel está ganando terreno entre los actores de amenazas, ya que operan con el nivel de privilegio más alto en Windows, lo que hace posible establecer la persistencia durante períodos prolongados mientras interfieren simultáneamente con el funcionamiento del software de seguridad. para evadir la detección.

Actualmente no está claro cómo se explotan las otras fallas y qué tan ampliamente se propagan esos ataques. Pero a la luz del abuso activo, se recomienda que los usuarios se muevan rápidamente para aplicar las actualizaciones para mitigar las amenazas potenciales.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para corregir varias vulnerabilidades, que incluyen:

• Adobe
• AMD
• Androide
• Proyectos Apache
• Apple (desde entonces ha sido retirado)
• Redes Aruba
• cisco
• Citrix
• CODESYS
• dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Chrome
• energía hitachi
• HP
• IBM
• Redes de enebro
• lenovo
• Distribuciones de Linux Debian , Oracle Linux , Red Hat , SUSE y Ubuntu
• MediaTek
• mitsubishi eléctrico
• Mozilla Firefox, Firefox ESR y Thunderbird
• NETGEAR
• NVIDIA
• Transferencia de Progreso MOVEit
• Qualcomm
• Samsung
• SAVIA
• Schneider Electric
• Siemens
• Synology
• vmware
• Ampliar , y
• Zyxel

Fuente y redacción: thehackernews.com