En su último informe de Patch Tuesday, Microsoft destaca una nueva variante de una vulnerabilidad parcheada el pasado mes de octubre, que permite obtener privilegios de sistema para el Common Registry File Controller (CLFS).
Tras la publicación de nuevos avisos de seguridad por parte de Microsoft en su último parche martes (informes publicados el segundo martes de cada mes), la compañía ha lanzado parches para 114 vulnerabilidades, incluidas 7 clasificadas como críticas y un parche adicional para una vulnerabilidad concreta que ya ha sido explotada activamente en escenarios del mundo real.
Identificada como CVE-2023-28252, esta vulnerabilidad previamente explotada permite a un atacante obtener privilegios en el sistema de archivos de registro común (Sistema de archivo de registro común, CLFS) de Windows, introducido por primera vez en 2003 R2. Los invasores se aprovecharon esta vulnerabilidad para implementar el ransomware nokoyawauna cepa relativamente nueva que puede estar relacionada con colmena, una de las familias de ransomware más destacadas de los últimos dos años, vinculada a fallas en más de 300 organizaciones en todo el mundo en solo unos meses. Aunque aún no está claro quién está detrás de Nokoyawa, las principales empresas de América del Norte, América del Sur y Asia, así como las empresas más pequeñas de Medio Oriente, ya han sido confirmadas como objetivos.
“Esta no es la primera vez que este controlador de Windows ha sido atacado por ciberdelincuentes”, dice Bharat Jogi, Jefe de Vulnerabilidad e Investigación de Amenazas en Qualys. «A partir de septiembre pasado, Microsoft parchó otra vulnerabilidad (CVE-2022-37969), conocida por ser explotada en el mundo real, que afecta a este mismo componente». Esta vulnerabilidad fue aprovechada por los ciberdelincuentes para obtener privilegios de acceso, ya que gracias a ella tenían un punto de apoyo en el sistema.
En cuanto a las vulnerabilidades críticas corregidas por Microsoft en este nuevo Patch Tuesday, destacan dos en particular: (CVE-2023-28250 y CVE-2023-21554) que afectaron al servicio Servidor de cola de mensajes Windows, y aunque todavía no se ha explotado ninguno en escenarios del mundo real, el riesgo era alto ya que tienen una puntuación CVSSv3 de 9,8 sobre 10 y se pueden utilizar como hacia (malware que se propaga en las redes). Finalmente, Microsoft ha reparado otras fallas críticas con correcciones que Qualys recomienda ejecutar primero.
“Los pocos meses transcurridos desde el inicio de 2023 confirman que el impacto del malware sigue creciendo y vemos que los ciberdelincuentes usan y reutilizan las puertas de enlace que les otorgan el mayor nivel de control”. explica Sergio Pedroche, Country Manager de Qualys Iberia. “Una solución a esta situación es la adopción de sistemas de gestión, monitoreo y visibilidad de activos de TI. Además, por supuesto, parches completos y capacidad de respuesta adecuada”.
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».
