Tres días cero, incluido uno que se está explotando activamente y debe abordarse de inmediato, se encuentran entre las más de 70 vulnerabilidades reparadas por Microsoft en su lanzamiento del martes de parches de mayo de 2022.
Rastreado como CVE-2022-26925, el día cero explotado es una vulnerabilidad de suplantación de identidad de la Autoridad de seguridad local (LSA) de Windows que afecta a Windows 7 a 10 y Windows Server 2008 a 2022.
En un aviso, Microsoft dijo: “Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante mediante NTLM. Esta actualización de seguridad detecta los intentos de conexión anónimos en LSARPC y los rechaza”.
Dustin Childs de Zero Day Initiative dijo que para explotar CVE-2022-26925, “el actor de amenazas tendría que estar en la ruta de red lógica entre el objetivo y el recurso solicitado, por ejemplo, man-in-the-middle, pero dado que esto aparece como bajo ataque activo, alguien debe haber descubierto cómo hacer que eso suceda”.
El director de investigación de amenazas de Immersive Labs, Kev Breen, agregó: “Si bien el aviso enumera esto como un CVSS de 7.1, el puntaje salta a 9.8 cuando se usa como parte de un ataque NTLM. Si bien todos los servidores se ven afectados, los controladores de dominio deben ser una prioridad para la protección ya que, una vez explotados, brindan acceso de alto nivel a los privilegios, a menudo conocidos como “las llaves del reino”.
Junto con CVE-2022-26925, los otros dos días cero en la última actualización son CVE-2022-22713 en Windows Hyper-V y CVE-2022-29972 en Magnitude Simba Amazon Redshift ODBC Drive. Todavía no se sabe que ninguno haya sido explotado.
Greg Wiseman, gerente principal de productos en Rapid7, desglosó estos días cero adicionales. “CVE-2022-22713 es una vulnerabilidad de denegación de servicio que afecta a los servidores Hyper-V que ejecutan versiones relativamente recientes de Windows (20H2 y posteriores)”, dijo.
“CVE-2022-29972 es un RCE crítico [remote code execution vulnerability] que afecta al controlador ODBC de Amazon Redshift utilizado por el tiempo de ejecución de integración autohospedado de Microsoft, un agente de cliente que permite que las fuentes de datos locales intercambien datos con servicios en la nube como Azure Data Factory y Azure Synapse Pipelines”.
Wiseman agregó: “Esta vulnerabilidad también llevó a Microsoft a publicar su primer aviso basado en orientación del año, ADV220001, que indica sus planes para fortalecer el aislamiento de inquilinos en sus servicios en la nube sin proporcionar detalles específicos o acciones que deben tomar los clientes”.
Mientras tanto, Allan Liska de Recorded Future evaluó algunas de las otras vulnerabilidades más notables reconocidas en el penúltimo martes de parches, al menos en su forma actual, antes del lanzamiento planificado de Windows Autopatch.
“CVE-2022-22012 y CVE-2022-29130 son vulnerabilidades de ejecución remota de código en el servicio LDAP de Microsoft. Estas vulnerabilidades han sido etiquetadas como Críticas por Microsoft, con puntajes CVSS de 9.8”, dijo Liska.
“Dicho esto, Microsoft advierte en su boletín para ambos que: ‘Esta vulnerabilidad solo se puede explotar si la política LDAP de MaxReceiveBuffer se establece en un valor superior al valor predeterminado. Los sistemas con el valor predeterminado de esta política no serían vulnerables.’ Parece que tener el MaxReceiveBuffer establecido en un valor más alto que el predeterminado es una configuración poco común, pero si su organización lo hace, esto debería priorizarse para la aplicación de parches”.
Liska continuó: “CVE-2022-26937 es una vulnerabilidad de ejecución remota de código en el sistema de archivos de red [NFS]. Esta es una vulnerabilidad grave que afecta a Windows Server 2008 hasta 2022 y Microsoft la etiqueta como crítica con una puntuación CVSS de 9,8. Esta vulnerabilidad solo afecta a NFSV2 y NFSV3, y Microsoft ha incluido instrucciones para deshabilitar estas versiones de NFS en el boletín. Microsoft etiqueta la facilidad de explotación de esta vulnerabilidad como ‘Explotación más probable’.
“Al igual que con CVE-2021-36942, una vulnerabilidad similar, CVE-2021-26432, se lanzó en agosto de 2021. Dadas las similitudes entre estas vulnerabilidades y las de agosto de 2021, todos podríamos estar preparados para un mayo difícil”.
