Recursos afectats
- Azure,
- Client Server Run-time Subsystem (CSRSS),
- Internet Control Message Protocol (ICMP),
- Microsoft Bluetooth Driver,
- Microsoft Dynamics,
- Microsoft Edge (basat en Chromium),
- Microsoft Graphics Component,
- Microsoft Office Excel,
- Microsoft Office Outlook,
- Microsoft Office SharePoint,
- Microsoft OneDrive,
- Microsoft PostScript Printer Driver,
- Microsoft Printer Drivers,
- Microsoft Windows Codecs Library,
- Office per a Android,
- Remote Access Service Point-to-Point Tunneling Protocol,
- Role: DNS Server,
- Role: Windows Hyper-V,
- Service Fabric,
- Visual Studio,
- Windows Accounts Control,
- Windows Bluetooth Service,
- Windows Central Resource Manager,
- Windows Cryptographic Services,
- Windows Defensar,
- Windows HTTP Protocol Stack,
- Windows HTTP.sys,
- Windows Internet Key Exchange (IKE) Protocol,
- Windows Kernel,
- Windows Partition Management Driver,
- Windows Point-to-Point Protocol over Ethernet (PPPoE),
- Windows Remote Procedure Call,
- Windows Remote Procedure Call Runtime,
- Windows Resilient File System (ReFS),
- Windows Secure Channel,
- Windows SmartScreen,
- Windows TPM,
- Windows Win32K.
Descripció
El butlletí de març de Microsoft detalla 109 vulnerabilitats, de les quals 9 són de severitat crítica, 70 de severitat important, 1 de severitat moderada i 29 sense severitat assignada.
Solució
En la major part dels casos, el programari afectat s'actualitzarà automàticament per defecte. No obstant això, en cas que no es realitzi aquesta actualització de forma automàtica, Microsoft posa a disposició dels usuaris un portal web amb tota la informació relacionada, així com els pegats dels productes afectats per a baixar-los i que es pot consultar aquí : 'Guia d'actualitzacions de seguretat de Microsoft'.
Es recomana actualitzar com més aviat millor el programari afectat a la darrera versió i activar les actualitzacions automàtiques, en cas que no s'estiguin aplicant per defecte.
Les actualitzacions de Windows 10 són acumulatives. La versió mensual de seguretat inclou totes les correccions de seguretat per a les vulnerabilitats, a més de les actualitzacions no relacionades amb la seguretat.
Els usuaris, que tinguin instal·lats Windows Server 2008 R2 o Windows Server 2008 allotjats a Azure, necessiten adquirir el Esteneu Security Update per continuar rebent les actualitzacions de seguretat.
Avui, el CCN-CERT ha emès l'avís de seguretat per a productes Microsoft. Aquest avís ahir ja es va publicar al SOC.infordisa com 0-day d'Outlook.
Qualificada com a crítica i se li ha assignat el codi CVE-2023-23397 amb una qualificació del 9.8 segons l'escala CVSSv3 i notificada per la companyia amb el respectiu avís de seguretat.
Un atacant podria accedir al hash Net-NTLMv2 d'un usuari i podria ser utilitzat com a base d'un atac NTLM Relay contra un altre servei per autenticar-se com a usuari. Aquesta vulnerabilitat podria permetre que un usuari enviés un correu especialment dissenyat per activar-se automàticament quan és recuperat i processat pel client Outlook. L'explotació podria produir-se abans que el correu electrònic sigui visible a la vista prèvia. Els atacants podrien enviar correus electrònics dissenyats per tal de provocar una connexió de la víctima a una ubicació UNC controlada pels atacants.
Recursos afectats a Outlook (CVE-2023-23397)
S'han vist afectades les versions següents de MS Outlook:
- versió 16.0.1
- versió 16.0.0.0 fins 16.0.5387.1000
- versió 15.0.0.0 fins 15.0.5537.1000
Recomanacions
Es recomana bloquejar la sortida de trànsit cap al port TCP 445/SMB des de la xarxa al tallafocs perimetral per evitar l'enviament de missatges de autenticació NTLM a recursos compartits de fitxers remots. També s'ha de valorar la inclusió d'usuaris al grup de seguretat d'usuaris protegits, cosa que impedeix l'ús de NTLM com a sistema d'autenticació.
Es recomana encaridament als usuaris i administradors de sistemes que realitzin les actualitzacions esmentades per evitar l'exposició a atacs externs i la presa de control dels sistemes informàtics.
