Este muerto está muy vivo: Microsoft vuelve a parchear IE

El martes de parches de Microsoft este julio: una colección de vulnerabilidades explotadas.

La colección de parches de julio de Microsoft ha resultado ser bastante sorprendente. Primero, una vez más están reparando un Internet Explorer aparentemente muerto. En segundo lugar, los atacantes ya están explotando en activo hasta 6 de las vulnerabilidades. Y, en tercer lugar, 2 de las 6 se cerraron con recomendaciones, en lugar de con parches.

Estas son las estadísticas totales: se han cerrado 132 errores, 9 de los cuales se consideran críticos. La explotación de 37 vulnerabilidades puede conducir a la ejecución de código arbitrario, 33 de ellas, a la elevación de privilegios, 13, a la omisión de funciones de seguridad y 22, posiblemente, a la denegación de servicio.

¿Por qué están parcheando Internet Explorer?

Recientemente escribimos que Internet Explorer había muerto, pero no del todo. En concreto, hablamos sobre el consejo de Microsoft de seguir instalando actualizaciones de seguridad relacionadas con IE, ya que algunos de sus componentes aún siguen encontrándose en el sistema. Y ahora queda claro el porqué de este consejo. El parche de julio cierra hasta tres vulnerabilidades en MSHTML, el motor dentro de este legendario navegador. En las descripciones de la CVE, Microsoft afirma lo siguiente:

Si bien Microsoft ha anunciado el retiro de la aplicación Internet Explorer 11 en ciertas plataformas y la aplicación Microsoft Edge Legacy está obsoleta, las plataformas subyacentes MSHTML, EdgeHTML y secuencias de comandos aún siguen siendo compatibles. En concreto, la plataforma MSHTML la utiliza el modo Internet Explorer en Microsoft Edge, así como otras aplicaciones bajo el control de WebBrowser. WebView y algunas aplicaciones UWP utilizan la plataforma EdgeHTML. Y MSHTML y EdgeHTML utilizan las plataformas de secuencias de comandos, pero también pueden utilizarse por otras aplicaciones heredadas. Las actualizaciones para abordar las vulnerabilidades en la plataforma MSHTML y el motor de secuencias de comandos se incluyen en las actualizaciones acumulativas de IE; los cambios de EdgeHTML y Chakra no se aplican a esas plataformas.

Para mantenerse completamente protegido, recomendamos que los clientes que instalen actualizaciones del tipo Security Only instalen las Cumulative Updates de IE.

La más peligrosa de las vulnerabilidades de IE recién descubierta es la CVE-2023-32046, que además ya se está utilizando en ataques reales, dado que su explotación exitosa permite a los ciberdelincuentes elevar sus privilegios a los de la víctima. Las situaciones de ataque implican la creación de un archivo malicioso que se envía a la víctima por correo o se aloja en un sitio web comprometido. Todo lo que necesitan los atacantes es convencer al usuario de que siga el enlace y abra el archivo.

Las dos vulnerabilidades restantes, las CVE-2023-35308 y CVE-2023-35336, se pueden usar para eludir las funciones de seguridad. La primera permite que un ciberdelincuente cree un archivo sin pasar por el mecanismo Mark-of-the-Web para que las aplicaciones de Microsoft Office puedan abrir el archivo sin el modo de vista protegida. Además, ambos agujeros se pueden usar para persuadir a una víctima para que acceda a una URL en una zona de seguridad de Internet menos restrictiva de lo previsto.

Recomendaciones en lugar de parches

Las siguientes dos vulnerabilidades también se están explotando en activo, pero en lugar de parches completos, solo hemos recibido por parte de Microsoft una serie de recomendaciones de seguridad.

La primera, la CVE-2023-36884 (con calificación CVSS de 8,3), se está explotando en los ataques de RCE Storm-0978/RomCom en Office y Windows. Para mantenerse a salvo, Microsoft recomienda agregar todos los ejecutables de Office a la lista FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.

El segundo problema sin resolver que está relacionado con la firma de los drivers en el nivel del kernel no tiene un índice de CVE, sino únicamente una guía con recomendaciones (ADV-230001). Microsoft revocó un montón de certificados de desarrollador utilizados en ataques de APT y bloqueó varios drivers maliciosos, pero la raíz del problema persistió. Los ciberdelincuentes aún siguen pudiendo firmar drivers con certificados de Microsoft; también los firman con fecha anterior para que funcionen como una de las excepciones y no requieran la firma del portal de desarrolladores de MS.

Como contramedida, Microsoft recomienda mantener actualizados tanto Windows como EDR. El único consuelo es que, para poder explotar dichos controladores, el atacante debe contar con privilegios de administrador.

El resto de las vulnerabilidades explotadas

Además de las vulnerabilidades mencionadas anteriormente, hay tres agujeros más que ya están explotando los ciberdelincuentes.

  • CVE-2023-32049: Vulnerabilidad que permite la omisión de la función de seguridad de SmartScreen. Su explotación permite a los atacantes crear un archivo que se abre sin mostrar la advertencia de Windows “descargado de Internet”.
  • CVE-2023-36874: Vulnerabilidad de escalada de privilegios en el servicio de Informe de errores de Windows que permite a los atacantes elevar los privilegios si ya tienen permisos normales para crear carpetas y archivos de monitorización del rendimiento técnico.
  • CVE-2023-35311: Vulnerabilidad que permite omitir la función de seguridad en Outlook. Su explotación ayuda a que los ciberdelincuentes eviten la aparición de advertencias al usar la vista previa.

Cómo mantenerte a salvo

Para mantener a salvo los recursos corporativos, recomendamos instalar los parches de seguridad lo antes posible, así como proteger todas los ordenadores y servidores en funcionamiento utilizando soluciones modernas que puedan detectar la explotación de vulnerabilidades conocidas y desconocidas.

Consejos