Los clientes de Microsoft con licencias de Windows Enterprise E3 y E5 ahora pueden aprovechar los parches automatizados con el servicio Windows Autopatch de Redmond, lanzado formalmente ayer (12 de julio), pero para todos los demás, la última actualización de Patch Tuesday trae más de 80 correcciones, incluida una cero explotada activamente. -día al que hay que prestar atención.
Registrado como CVE-2022-22047, el día cero se encuentra en el proceso de tiempo de ejecución del servidor del cliente de Windows (CSRSS), una parte muy importante de todos los sistemas operativos de Windows que administra varios procesos críticos.
Afortunadamente, la explotación exitosa requiere que un atacante tenga un punto de apoyo existente en los sistemas del objetivo, por lo que tiene un puntaje CVSS comparativamente bajo de solo 7.8. Sin embargo, Microsoft dijo que está bajo ataque activo y, si se explota con éxito, podría permitir que el atacante ejecute código con privilegios de nivel de SISTEMA.
Al evaluar el impacto potencial de CVE-2022-22047, Kev Breen de Immersive Labs dijo: “Este tipo de vulnerabilidad generalmente se ve después de que un objetivo ya se ha visto comprometido. De manera crucial, permite al atacante escalar sus permisos de los de un usuario normal a los mismos permisos que el SISTEMA.
“Con este nivel de acceso, los atacantes pueden deshabilitar los servicios locales, como la detección de puntos finales y las herramientas de seguridad. Con el acceso al SISTEMA, también pueden implementar herramientas como Mimikatz, que se pueden usar para recuperar aún más cuentas de administrador y nivel de dominio, propagando la amenaza rápidamente”, dijo Breen.
Mike Walters, cofundador de Action1, un proveedor de servicios de administración y monitoreo remoto en la nube, agregó: “Las vulnerabilidades de este tipo son excelentes para tomar el control de una estación de trabajo o servidor cuando se combinan con ataques de phishing que usan documentos de Office con macros. Es probable que esta vulnerabilidad se pueda combinar con Follina para obtener un control total sobre un punto final de Windows”.
El valor de las macros en la creación exitosa de un ataque que explota CVE-2022-22047 hará que sea una preocupación adicional para muchos, dada la suspensión de Microsoft de su nueva política para bloquear macros de forma predeterminada a fines de la semana pasada, aparentemente solo temporalmente.
Por otra parte, el lanzamiento de julio de Redmond contiene correcciones para cuatro vulnerabilidades críticas, todas las cuales permiten la ejecución remota de código. Estos son, en orden numérico, CVE-2022-22029 en el Sistema de archivos de red de Windows; CVE-2022-22038 en tiempo de ejecución de llamada a procedimiento remoto; CVE-2022-22039, también en el sistema de archivos de red de Windows; y finalmente, CVE-2022-30221 en el componente de gráficos de Windows.
De estas cuatro vulnerabilidades, las tres primeras serían relativamente difíciles de explotar para los atacantes porque requieren que se transmita una gran cantidad de datos sostenidos, mientras que la cuarta requiere que un atacante ejecute un servidor de escritorio remoto (RDP) malicioso y convenza a un usuario. para conectarse a él. “Esto no es tan descabellado como parece”, dijo Breen. “Como los archivos de acceso directo de RDP podrían enviarse por correo electrónico a las víctimas objetivo, y es posible que estos tipos de archivos no se marquen como maliciosos por los escáneres y filtros de correo electrónico”.
Mirando más allá de las vulnerabilidades más impactantes, la caída de julio también se destaca por una gran cantidad de correcciones que abordan la increíble elevación de 33 vulnerabilidades de privilegios en el servicio Azure Site Recovery.
Ninguna de estas vulnerabilidades está siendo explotada activamente, pero según Chris Goettl de Ivanti, son muy problemáticas. “La preocupación está en la cantidad de vulnerabilidades resueltas”, dijo. “Fueron identificados por varios investigadores independientes y partes anónimas, lo que significa que el conocimiento sobre cómo explotar estas vulnerabilidades está un poco más distribuido.
“La resolución tampoco es simple. Requiere iniciar sesión en cada servidor de procesos como administrador, descargar e instalar la última versión. Vulnerabilidades como esta a menudo son fáciles de perder de vista, ya que no se administran mediante el proceso típico de administración de parches”.
Goettl también mencionó cuatro vulnerabilidades del administrador de colas de impresión, una vez más, ninguna revelada o explotada previamente, pero aún así es riesgosa en términos de la interrupción que podría causar a las organizaciones. “Desde PrintNightmare, ha habido muchas correcciones de Print Spooler, y en más de uno de esos eventos de Patch Tuesday, los cambios han resultado en impactos operativos”, dijo.
“Esto hace que los administradores sean un poco tímidos y justifica algunas pruebas adicionales para garantizar que no ocurran problemas negativos en su organización”, dijo Goettl. “El mayor riesgo es que si esto impide que una organización impulse la actualización del sistema operativo de julio, podría evitar la resolución de vulnerabilidades críticas y la vulnerabilidad de día cero CVE-2022-22047, que también se incluye en la actualización acumulativa del sistema operativo”.
