La colecci\u00f3n de parches de julio de Microsoft ha resultado ser bastante sorprendente. Primero, una vez m\u00e1s est\u00e1n reparando un Internet Explorer aparentemente muerto. En segundo lugar, los atacantes ya est\u00e1n explotando en activo hasta 6 de las vulnerabilidades. Y, en tercer lugar, 2 de las 6 se cerraron con recomendaciones, en lugar de con parches.<\/p>\n
Estas son las estad\u00edsticas totales: se han cerrado 132 errores, 9 de los cuales se consideran cr\u00edticos. La explotaci\u00f3n de 37 vulnerabilidades puede conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario, 33 de ellas, a la elevaci\u00f3n de privilegios, 13, a la omisi\u00f3n de funciones de seguridad y 22, posiblemente, a la denegaci\u00f3n de servicio.<\/p>\n
Recientemente escribimos<\/a> que Internet Explorer hab\u00eda muerto, pero no del todo. En concreto, hablamos sobre el consejo de Microsoft de seguir instalando actualizaciones de seguridad relacionadas con IE, ya que algunos de sus componentes a\u00fan siguen encontr\u00e1ndose en el sistema. Y ahora queda claro el porqu\u00e9 de este consejo. El parche de julio cierra hasta tres vulnerabilidades en MSHTML, el motor dentro de este legendario navegador. En las descripciones de la CVE, Microsoft afirma lo siguiente:<\/p>\n Si bien Microsoft ha anunciado el retiro de la aplicaci\u00f3n Internet Explorer 11 en ciertas plataformas y la aplicaci\u00f3n Microsoft Edge Legacy est\u00e1 obsoleta, las plataformas subyacentes MSHTML, EdgeHTML y secuencias de comandos a\u00fan siguen siendo compatibles. En concreto, la plataforma MSHTML la utiliza el modo Internet Explorer en Microsoft Edge, as\u00ed como otras aplicaciones bajo el control de WebBrowser. WebView y algunas aplicaciones UWP utilizan la plataforma EdgeHTML. Y MSHTML y EdgeHTML utilizan las plataformas de secuencias de comandos, pero tambi\u00e9n pueden utilizarse por otras aplicaciones heredadas. Las actualizaciones para abordar las vulnerabilidades en la plataforma MSHTML y el motor de secuencias de comandos se incluyen en las actualizaciones acumulativas de IE; los cambios de EdgeHTML y Chakra no se aplican a esas plataformas.<\/p>\n Para mantenerse completamente protegido, recomendamos que los clientes que instalen actualizaciones del tipo Security Only instalen las Cumulative Updates de IE.<\/p><\/blockquote>\n La m\u00e1s peligrosa de las vulnerabilidades de IE reci\u00e9n descubierta es la CVE-2023-32046<\/a>, que adem\u00e1s ya se est\u00e1 utilizando en ataques reales, dado que su explotaci\u00f3n exitosa permite a los ciberdelincuentes elevar sus privilegios a los de la v\u00edctima. Las situaciones de ataque implican la creaci\u00f3n de un archivo malicioso que se env\u00eda a la v\u00edctima por correo o se aloja en un sitio web comprometido. Todo lo que necesitan los atacantes es convencer al usuario de que siga el enlace y abra el archivo.<\/p>\n Las dos vulnerabilidades restantes, las CVE-2023-35308<\/a> y CVE-2023-35336<\/a>, se pueden usar para eludir las funciones de seguridad. La primera permite que un ciberdelincuente cree un archivo sin pasar por el mecanismo Mark-of-the-Web para que las aplicaciones de Microsoft Office puedan abrir el archivo sin el modo de vista protegida. Adem\u00e1s, ambos agujeros se pueden usar para persuadir a una v\u00edctima para que acceda a una URL en una zona de seguridad de Internet menos restrictiva de lo previsto.<\/p>\n Las siguientes dos vulnerabilidades tambi\u00e9n se est\u00e1n explotando en activo, pero en lugar de parches completos, solo hemos recibido por parte de Microsoft una serie de recomendaciones<\/em> de seguridad.<\/p>\n La primera, la CVE-2023-36884<\/a> (con calificaci\u00f3n CVSS de 8,3), se est\u00e1 explotando en los ataques de RCE Storm-0978\/RomCom<\/a> en Office y Windows. Para mantenerse a salvo, Microsoft recomienda agregar todos los ejecutables de Office a la lista FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.<\/p>\n El segundo problema sin resolver que est\u00e1 relacionado con la firma de los drivers en el nivel del kernel no tiene un \u00edndice de CVE, sino \u00fanicamente una gu\u00eda con recomendaciones (ADV-230001<\/a>). Microsoft revoc\u00f3 un mont\u00f3n de certificados de desarrollador utilizados en ataques de APT y bloque\u00f3 varios drivers maliciosos, pero la ra\u00edz del problema persisti\u00f3. Los ciberdelincuentes a\u00fan siguen pudiendo firmar drivers con certificados de Microsoft; tambi\u00e9n los firman con fecha anterior para que funcionen como una de las excepciones y no requieran la firma del portal de desarrolladores de MS.<\/p>\n Como contramedida, Microsoft recomienda mantener actualizados tanto Windows como EDR. El \u00fanico consuelo es que, para poder explotar dichos controladores, el atacante debe contar con privilegios de administrador.<\/p>\n Adem\u00e1s de las vulnerabilidades mencionadas anteriormente, hay tres agujeros m\u00e1s que ya est\u00e1n explotando los ciberdelincuentes.<\/p>\nRecomendaciones en lugar de parches<\/h2>\n
El resto de las vulnerabilidades explotadas<\/h2>\n
\n
C\u00f3mo mantenerte a salvo<\/h2>\n