Microsoft ha iniciado 2022 corrigiendo un total de 98 vulnerabilidades de seguridad como parte de su actualización del martes de parches de enero de 2022 publicada ayer, incluyendo 29 fallos de ejecución remota de código (RCE) y seis días cero.
De las 98 vulnerabilidades totales, nueve fueron calificadas como “críticas”, es decir, con una puntuación CVE de nueve o superior. Entre los problemas de seguridad más graves parcheados por Microsoft se encuentran un par de RCEs, ambos con puntuaciones de 9,8/10, que afectan a los servidores de Windows y a los sistemas con intercambio de claves por Internet (IKE).
Microsoft ha publicado una lista completa de los problemas de seguridad ya parcheados, con fallos RCE que afectan a productos como Windows Server, Microsoft Exchange Server, SharePoint Server, la suite Microsoft Office, DirectX, el protocolo de escritorio remoto de Windows, Windows Resilient File System y otras áreas.
La vulnerabilidad RCE más grave, rastreada como CVE-2022-21849, puede explotarse con “baja complejidad”, según las notas del parche de Microsoft, y permite a los atacantes no autenticados desencadenar múltiples vulnerabilidades cuando el servicio IPSec se ejecuta en Windows.
Microsoft Exchange Server también recibió cinco correcciones separadas para una vulnerabilidad RCE con calificación crítica, rastreada como CVE-2022-21846, con una calificación de 9,0/10, con un vector de ataque “adyacente”, lo que significa que el ataque se limita al nivel del protocolo. La Agencia de Seguridad Nacional (NSA) fue la primera en avisar a Microsoft de este fallo concreto, que ha llamado la atención sobre otros problemas de seguridad de Microsoft Exchange a lo largo de 2021.
Para lograr la explotación, los ciberatacantes tendrían que conseguir primero un punto de apoyo en el entorno de la víctima, como estar en la misma red física compartida, como Bluetooth o IEEE 802.11. Este tipo de fallo es común en las configuraciones de tipo man-in-the-middle, o ataque mediante intermediarios, dijo Microsoft.
Microsoft también ha parcheado numerosos fallos que afectan a la suite Microsoft Office, pero quizás el más grave, registrado como CVE-2022-21840, aborda 26 fallos individuales con calificación crítica en una sola vulnerabilidad. Tiene una puntuación CVE de 8,8/10 y los atacantes podrían lograr la ejecución remota de código en la máquina de la víctima si ésta abre un archivo especialmente diseñado.
Se cree que el fallo CVE-2022-21840 es ligeramente menos probable de explotar, dado que se requiere cierta interacción del usuario (abrir el archivo), pero Microsoft sigue clasificándolo como un exploit de “baja complejidad”, lo que significa que los ciberatacantes pueden esperar un éxito repetible contra el componente vulnerable.
Microsoft ha publicado actualizaciones para los equipos Windows, que se aconseja instalar, pero algunos usuarios de Mac tendrán que esperar a los parches, ya que no están disponibles de inmediato.
El fallo que afecta a los servidores de Windows configurados como servidores web, rastreado como CVE-2022-21907, permite a los ciberatacantes no autentificados enviar paquetes especialmente diseñados a los servidores objetivo utilizando la pila de protocolos HTTP. Microsoft también ha dicho que el problema es susceptible de convertirse en gusano y recomienda parchear todos los servidores afectados como tarea prioritaria.
Otro de los fallos más graves que Microsoft ha parcheado esta semana es el que afectaba al intercambio de claves de Internet (IKE), aunque la empresa no ha revelado todos los detalles del problema.
Además del conjunto de vulnerabilidades de seguridad que afectan a los productos de Microsoft, también se han parcheado seis días cero, aunque no hay indicios de que ninguno de ellos haya sido explotado activamente.
- CVE-2022-21919 – Vulnerabilidad de elevación de privilegios en el servicio de perfil de usuario de Windows
- CVE-2022-21836 – Vulnerabilidad de falsificación de certificados de Windows
- CVE-2022-21839 – Vulnerabilidad de denegación de servicio en la lista de control de acceso discrecional de Windows Event Tracing
- CVE-2022-21874 – Vulnerabilidad de ejecución remota de código en la API del Centro de Seguridad de Windows
- CVE-2021-22947 – Vulnerabilidad de ejecución remota de código en Curl de código abierto
- CVE-2021-36976 – Vulnerabilidad de ejecución remota de código en Libarchive
Ninguno de los días cero mencionados ha sido explotado activamente, pero existe un código de prueba de concepto (PoC) disponible públicamente, por lo que las empresas deberían parchearlos de forma prioritaria antes de que se produzcan intentos de explotación.