Sistemas Afectados

• Microsoft Windows 10.1507 excepto 10.0.10240.20345
• Microsoft Windows 10.1607 excepto 10.0.14393.6529
• Microsoft Windows 10.1809 excepto 10.0.17763.5206
• Microsoft Windows 10.21h2 excepto 10.0.19041.3803
• Microsoft Windows 10.22h2 excepto 10.0.19045.3803
• Microsoft Windows 11.21h2 excepto 10.0.22000.2652
• Microsoft Windows 11.22h2 excepto 10.0.22621.2861
• Microsoft Windows 11.23h2 excepto 10.0.22631.2861
• Microsoft Windows server 2022.23h2 10.0.25398.584
• Microsoft Windows server 2008:r2:sp1
• Microsoft Windows server 2012
• Microsoft Windows server 2012:r2
• Microsoft Windows server 2016
• Microsoft Windows server 2019
• Microsoft Windows server 2022

Descripción

Microsoft Security Response Center publicó un reporte de una vulnerabilidad de severidad crítica (identificada como CVE-2023-35628), la cual afecta a Microsoft Windows MSHTML. Esta vulnerabilidad puede ser explotada silenciosamente a través de la aplicación de Microsoft Outlook, y de ser explotada con éxito un actor de amenaza podría de manera remota y no autenticada ejecutar un código arbitrario en el sistema del usuario víctima sin necesidad de que la misma realice algun tipo de interacción, por lo que se le conoce como 0 click.

Referencia

• MSRC Security Updates: Windows MSHTML Platform Remote Code Execution Vulnerability
• CVE-2023-35628

Solución

El equipo de seguridad de Microsoft recomienda mantener aplicadas las últimas actualizaciones de seguridad lanzadas para los distintos productos de Microsoft Windows, de igual manera mantener estrictos controles de prevención al spam en el servicio de correos Microsoft Outlook.