Microsoft soluciona 98 vulnerabilidades en su primer martes de parches

Microsoft arremete contra los fallos cr铆ticos de RCE con actualizaciones de numerosos productos y servicios.

Microsoft ha iniciado 2022 corrigiendo un total de 98 vulnerabilidades de seguridad como parte de su actualizaci贸n del martes de parches de enero de 2022 publicada ayer, incluyendo 29 fallos de ejecuci贸n remota de c贸digo (RCE) y seis d铆as cero.

De las 98 vulnerabilidades totales, nueve fueron calificadas como “cr铆ticas”, es decir, con una puntuaci贸n CVE de nueve o superior. Entre los problemas de seguridad m谩s graves parcheados por Microsoft se encuentran un par de RCEs, ambos con puntuaciones de 9,8/10, que afectan a los servidores de Windows y a los sistemas con intercambio de claves por Internet (IKE).

Microsoft ha publicado una lista completa de los problemas de seguridad ya parcheados, con fallos RCE que afectan a productos como Windows Server, Microsoft Exchange Server, SharePoint Server, la suite Microsoft Office, DirectX, el protocolo de escritorio remoto de Windows, Windows Resilient File System y otras 谩reas.

La vulnerabilidad RCE m谩s grave, rastreada como CVE-2022-21849, puede explotarse con “baja complejidad”, seg煤n las notas del parche de Microsoft, y permite a los atacantes no autenticados desencadenar m煤ltiples vulnerabilidades cuando el servicio IPSec se ejecuta en Windows.

Microsoft Exchange Server tambi茅n recibi贸 cinco correcciones separadas para una vulnerabilidad RCE con calificaci贸n cr铆tica, rastreada como CVE-2022-21846, con una calificaci贸n de 9,0/10, con un vector de ataque “adyacente”, lo que significa que el ataque se limita al nivel del protocolo. La Agencia de Seguridad Nacional (NSA) fue la primera en avisar a Microsoft de este fallo concreto, que ha llamado la atenci贸n sobre otros problemas de seguridad de Microsoft Exchange a lo largo de 2021.

Para lograr la explotaci贸n, los ciberatacantes tendr铆an que conseguir primero un punto de apoyo en el entorno de la v铆ctima, como estar en la misma red f铆sica compartida, como Bluetooth o IEEE 802.11. Este tipo de fallo es com煤n en las configuraciones de tipo man-in-the-middle, o ataque mediante intermediarios, dijo Microsoft.

Microsoft tambi茅n ha parcheado numerosos fallos que afectan a la suite Microsoft Office, pero quiz谩s el m谩s grave, registrado como CVE-2022-21840, aborda 26 fallos individuales con calificaci贸n cr铆tica en una sola vulnerabilidad. Tiene una puntuaci贸n CVE de 8,8/10 y los atacantes podr铆an lograr la ejecuci贸n remota de c贸digo en la m谩quina de la v铆ctima si 茅sta abre un archivo especialmente dise帽ado.

Se cree que el fallo CVE-2022-21840 es ligeramente menos probable de explotar, dado que se requiere cierta interacci贸n del usuario (abrir el archivo), pero Microsoft sigue clasific谩ndolo como un exploit de “baja complejidad”, lo que significa que los ciberatacantes pueden esperar un 茅xito repetible contra el componente vulnerable.

Microsoft ha publicado actualizaciones para los equipos Windows, que se aconseja instalar, pero algunos usuarios de Mac tendr谩n que esperar a los parches, ya que no est谩n disponibles de inmediato.

El fallo que afecta a los servidores de Windows configurados como servidores web, rastreado como CVE-2022-21907, permite a los ciberatacantes no autentificados enviar paquetes especialmente dise帽ados a los servidores objetivo utilizando la pila de protocolos HTTP. Microsoft tambi茅n ha dicho que el problema es susceptible de convertirse en gusano y recomienda parchear todos los servidores afectados como tarea prioritaria.

Otro de los fallos m谩s graves que Microsoft ha parcheado esta semana es el que afectaba al intercambio de claves de Internet (IKE), aunque la empresa no ha revelado todos los detalles del problema.

Adem谩s del conjunto de vulnerabilidades de seguridad que afectan a los productos de Microsoft, tambi茅n se han parcheado seis d铆as cero, aunque no hay indicios de que ninguno de ellos haya sido explotado activamente.

  • CVE-2022-21919 – Vulnerabilidad de elevaci贸n de privilegios en el servicio de perfil de usuario de Windows
  • CVE-2022-21836 – Vulnerabilidad de falsificaci贸n de certificados de Windows
  • CVE-2022-21839 – Vulnerabilidad de denegaci贸n de servicio en la lista de control de acceso discrecional de Windows Event Tracing
  • CVE-2022-21874 – Vulnerabilidad de ejecuci贸n remota de c贸digo en la API del Centro de Seguridad de Windows
  • CVE-2021-22947 – Vulnerabilidad de ejecuci贸n remota de c贸digo en Curl de c贸digo abierto
  • CVE-2021-36976 – Vulnerabilidad de ejecuci贸n remota de c贸digo en Libarchive

Ninguno de los d铆as cero mencionados ha sido explotado activamente, pero existe un c贸digo de prueba de concepto (PoC) disponible p煤blicamente, por lo que las empresas deber铆an parchearlos de forma prioritaria antes de que se produzcan intentos de explotaci贸n.



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.