Ayer fue martes de parches, por lo que ha sido hora de que Microsoft envíe una nueva ronda de actualizaciones y mejoras para Windows 10, el sistema operativo al que la compañía seguirá dando soporte hasta 2025 y el nuevo Windows 11.

Esta actualización de seguridad de Microsoft en 2023 contiene parches para la exactamente 98 vulnerabilidades, incluida una que los atacantes están explotando activamente y otra que es de dominio público pero que aún no ha sido explotada. Con esto afirman que comenzamos el año totalmente libre de fallos en los sistemas operativos Windows.

Destacar que Microsoft calificó 11 de las vulnerabilidades reveladas como de gravedad "crítica", lo que significa que las organizaciones deben dar prioridad a estas para resolverlas y calificó las 87 restantes como "Importantes", calificación que la empresa utiliza para describir vulnerabilidades que, de ser explotadas, podrían resultar bastante perjudiciales.

Varias de las vulnerabilidades que la actualización de seguridad de enero de 2023 ha resuelto, afectaban a productos que son objetivos estrella de los atacantes. Cinco de ellas, por ejemplo, afectan a Microsoft Exchange Server y tres están o estaban en SharePoint.

Microsoft comienza el 2023 resolviendo hasta 98 vulnerabilidades en Windows 10 y 11

En cuanto a Windows 10, destacar que el parche de ayer martes de Microsoft incluye las siguientes actualizaciones:

• Windows 10 versión 1507 - KB5022297 (OS Build 10240.19685)
• Windows 10 versión 1607 - KB5022289 (OS Build 14393.5648)
• Windows 10 versión 1703 - EOS
• Windows 10 versión 1709 - EOS
• Windows 10 versión 1803 - EOS
• Windows 10 versión 1809 - KB5022286 (OS Build 17763.3887)
• Windows 10 versión 1903 - EOS
• Windows 10 versión 1909 - EOS
• Windows 10 versión 2004 - EOS
• Windows 10 versión 20H2, 21H1, 21H2, y 22H2 - KB5022282 (OS Builds 19042.2486, 19044.2486, y 19045.2486)

Como siempre suele ocurrir, la compañía da poca o ninguna información acerca de estos problemas para evitar que los atacantes aprovechen la situación. Sin embargo, sí que aconsejan que actualicemos nuestros sistemas operativos si se nos presenta la oportunidad para evitar cualquier vulnerabilidad en nuestro dispositivo.

11 funciones ocultas de Windows 11 que deberías estar usando

Por otro lado, una de las vulnerabilidades de alta prioridad en la actualización de enero de 2023 CVE-2023-21674 es un fallo explotado en Windows ALPC. Según Microsoft, esta vulnerabilidad de día cero afecta a todas las versiones del SO Windows (incluido el último Windows 11) y podría permitir a un atacante obtener privilegios a nivel de sistema (recibió una calificación CVSS de 8,8).

Por último destacar que dos de los 25 fallos de los que informó ZDI, y que Microsoft parcheó este mes, eran vulnerabilidades de elevación de privilegios en Exchange Server (CVE-2023-21763 y CVE-2023-21764), resultado de un parche fallido registrado como CVE-2022-41123.

Las 11 aplicaciones que usábamos todos en Windows y hoy día no

"El volumen es definitivamente preocupante, sobre todo teniendo en cuenta los parches de Exchange y las actualizaciones de SharePoint", afirma Dustin Childs, responsable de comunicación de la Iniciativa Día Cero (ZDI) de Trend Micro, que ha informado de 25 de los fallos que Microsoft ha solucionado.

"Son objetivos comunes, y objetivos que a menudo no reciben parches", señala. "También hay actualizaciones presentadas por la Agencia Nacional de Seguridad y el Establecimiento de Seguridad de las Comunicaciones de Canadá. Eso puede levantar alguna que otra ceja", añade.

En cuanto a las acciones recomendadas, Microsoft recomienda que todos los clientes instalen las últimas actualizaciones de Windows y se aseguren de que sus antivirus están al día y habilitados para prevenir estos ataques.