El martes de parches para el mes de abril de 2023 ya está aquí, y con él viene un torrente de nuevas actualizaciones de seguridad diseñadas para parchear un total de 97 vulnerabilidades, incluida una vulnerabilidad de día cero que se está explotando activamente. Los parches están disponibles para Microsoft Windows y componentes de Windows, Microsoft Office y componentes de Office, Windows Defender, SharePoint Server, Windows Hyper-V, impresora PostScript y Microsoft Dynamics. Estas actualizaciones corrigen fallas de seguridad.
Al momento de la publicación, se informa que uno de los nuevos CVE ya es objetivo de un ataque. Esta vulnerabilidad, a la que se le ha asignado el número de seguimiento CVE-2023-28252 y tiene una puntuación CVSS de 7,8, afecta al componente del controlador del sistema de archivos de registro comunes de Windows. Esta vulnerabilidad de día cero se está explotando activamente en este momento y parece ser terriblemente idéntica a otra debilidad que se solucionó en el mismo componente hace solo dos meses. Esto apunta al hecho de que el primer remedio no solo era inadecuado, sino que los atacantes han descubierto una forma de sortearlo. No hay información disponible sobre el alcance de estos ataques; sin embargo, las vulnerabilidades de este tipo se combinan con frecuencia con problemas de ejecución de código para propagar software malicioso o ransomware.
Microsoft dijo en su advertencia que un atacante que explotó con éxito este problema puede adquirir derechos de SISTEMA si se explotó la vulnerabilidad. La corporación ha otorgado crédito por descubrir e informar la vulnerabilidad CVE-2023-28252 al investigador de seguridad Genwei Jiang de Mandiant y Quan Jin de DBAPPSecurity WeBin Lab.
Este mes nos trae una actualización intrigante que está siendo monitoreada como CVE-2013-3900. Este parche, que se lanzó por primera vez hace diez años, se vuelve a publicar ya que los actores de amenazas lo utilizaron recientemente en los ataques de 3CX. El nuevo parche, que anteriormente había sido un remedio de “opt-in”, contiene actualizaciones para más sistemas e incluye consejos adicionales para las organizaciones. Es fundamental evaluar todos los consejos, incluida la información sobre el programa raíz de confianza de Microsoft, y tomar las medidas adecuadas para proteger su entorno. Revisar todas las sugerencias es un buen lugar para comenzar.
La más grave de estas fallas, que se conoce con el nombre QueueJumper (CVE-2023-21554), podría hacer posible que atacantes no autorizados ejecuten código arbitrario de forma remota en el contexto del proceso de servicio de Windows mqsvc.exe. Con la versión que se lanzó el martes de parches de abril, Microsoft incluyó una corrección para esta vulnerabilidad.
MSMQ es una infraestructura de mensajes y una plataforma de desarrollo para el sistema operativo Microsoft Windows que permite a los desarrolladores crear aplicaciones de mensajería distribuida con bajo acoplamiento mediante un intermediario de mensajes. Aún se puede acceder a MSMQ en todos los sistemas operativos de Windows, incluidos los más recientes Windows Server 2022 y Windows 11, y se suministra como un componente opcional de Windows. A pesar de que se considera un servicio “olvidado” o “antiguo”, MSMQ todavía está disponible.
Alcanzar el puerto TCP 1801 permite a un atacante ejecutar malware de forma remota y sin autorización gracias a la vulnerabilidad QueueJumper, que se rastrea con el identificador CVE CVE-2023-21554. Un adversario podría tomar el control del proceso enviando solo un paquete al puerto 1801/tcp mientras usa el exploit, lo que luego provocaría que se explotara la vulnerabilidad de seguridad.
CheckPoint aconseja a todos los administradores de sistemas Windows que examinen sus servidores y clientes para ver si se ha instalado o no el servicio MSMQ.
Los usuarios o administradores pueden verificar si un servicio en la computadora llamado “Message Queuing” ahora está activo y si el puerto TCP 1801 está esperando conexiones entrantes o no. Si ya está instalado, debe verificar si realmente lo necesita.
Casi siempre es una excelente práctica para la seguridad cerrar cualquier superficie de ataque superflua. Los usuarios deben aplicar el parche oficial de Microsoft lo antes posible para protegerse contra esta vulnerabilidad específica. Como solución alternativa, si una empresa necesita MSMQ pero no puede implementar la solución que Microsoft lanzó en este momento, la empresa podría usar sus reglas de firewall para evitar que las conexiones entrantes para el puerto 1801/tcp provengan de fuentes no confiables.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.