El primer martes de parches de 2023 está aquí, con Microsoft haciendo un gran esfuerzo para comenzar el año con una nota alta.
En total, el gigante del software de Redmond reveló correcciones para 98 fallas de seguridad, incluidas las vulnerabilidades generalmente conocidas, así como las que se abusan en la naturaleza.
Casi una docena (11) han sido calificados como «críticos», ya que permiten a los actores de amenazas ejecutar código malicioso de forma remota.
Correcciones a los servidores de Microsoft Exchange
La falla que los piratas informáticos están explotando actualmente es CVE-2023-21674, una vulnerabilidad de elevación de privilegios de llamada de procedimiento local avanzado (ALPC) de Windows que permite a los actores de amenazas obtener privilegios de SISTEMA. Este tiene una puntuación de gravedad de 8,8.
Otra vulnerabilidad con una puntuación de gravedad de 8,8 es CVE-2023-21549, una vulnerabilidad de elevación de privilegios del Servicio Testigo de Windows SMB que permite a los atacantes ejecutar funciones RPC normalmente reservadas para cuentas privilegiadas.
«Para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado que ejecuta una llamada RPC a un host RPC», dice la alerta de seguridad.
La lista de vulnerabilidades corregidas es bastante larga, pero algunas otras menciones notables incluyen CVE-2023-21743, una vulnerabilidad de elusión de la característica de seguridad de Microsoft SharePoint Server que permite a los actores de amenazas eludir el acceso de usuario esperado como un usuario no autenticado, CVE-2023-21762 y CVE-2023-21745 (vulnerabilidades de suplantación de identidad en servidores de Microsoft Exchange), y CVE-2023-21763 y CVE-2023-21764 (fallas de elevación de privilegios en servidores de Exchange).
También vale la pena mencionar que estas son las últimas actualizaciones de seguridad que llegaron a Windows 7 y Windows 8.1. El primero ha llegado al final de su período de pago adicional de tres años para obtener actualizaciones de seguridad extendidas, mientras que Windows 8.1 simplemente no obtendrá ninguna, independientemente de si las empresas están dispuestas a pagar o no.
“Como recordatorio, Windows 8.1 llegará al final del soporte el 10 de enero de 2023 [2023-01-10], momento en el que ya no se proporcionará asistencia técnica ni actualizaciones de software”, dijo Microsoft. “Microsoft no ofrecerá un programa de actualización de seguridad extendida (ESU) para Windows 8.1. Seguir usando Windows 8.1 después del 10 de enero de 2023 puede aumentar la exposición de una organización a la seguridad (se abre en una pestaña nueva) riesgos o afectar su capacidad para cumplir con las obligaciones de cumplimiento”.
Vía: El Registro (se abre en una pestaña nueva)