Microsoft soluciona 130 vulnerabilidades, incluidos siete fallos críticos que impactan en Windows y dos en SharePoint. Como es lógico, el mayor número de vulnerabilidades, hasta 104, afectan a Windows, incluidas dos que impactan contra Azure; Office recibe diez parches, incluidos dos que comparte con Outlook y uno con Access; SharePoint recibe cinco; Azure, cuatro, además de los dos mencionados anteriormente; Microsoft Dynamics, recibe dos; Visual Studio y .NET un parche cada uno, además de otros que comparten.
Del total de parches, nueve han sido calificados como críticos, mientras que el resto, 121, se consideran importantes. La actualización contiene la combinación habitual de fallos de ejecución remota de código (RCE), problemas de derivación de seguridad y escalada de privilegios, errores de divulgación de información y vulnerabilidades de denegación de servicio.
Desde el punto de vista de la priorización de parches, los cinco fallos de Día Cero sobre lo que Microsoft informó esta semana merecen atención inmediata, según los investigadores de seguridad. El más grave es el CVE-2023-36884, un fallo de ejecución remota de código (RCE) en Office y HTML de Windows. La compañía ya ha identificado un grupo que está explotando el fallo en una campaña de phishing dirigida a organizaciones gubernamentales y de defensa en América del Norte y Europa.
Además, de estas cinco vulnerabilidades, dos de las que se están explotando activamente son fallos de derivación de seguridad. Uno afecta a Microsoft Outlook (CVE-2023-35311) y el otro involucra a Windows SmartScreen (CVE-2023-32049). Ambas requieren la interacción del usuario, lo que significa que un atacante solo podría explotarlas convenciendo a un usuario para que pinche sobre una URL maliciosa.
Los otros dos fallos de Dia Cero en el último conjunto de parches de Microsoft permiten la escalada de privilegios. Rastreada como CVE-2023-36874, la vulnerabilidad es un problema de elevación de privilegios en el servicio de Informe de errores de Windows (WER) que brinda a los atacantes una forma de obtener derechos administrativos en sistemas vulnerables.
