Antes del martes de parches final, que fiel al precedente vence el martes 14 de junio, los analistas de Recorded Future están entrando en la brecha, lanzando un informe mensual que detallará las vulnerabilidades y exposiciones comunes (CVE) más impactantes que circulan.
Y su edición inaugural contiene algunas vulnerabilidades significativas, incluidos varios días cero. De estos, el más crítico es probablemente CVE-2022-30190, o Follina, que la unidad de investigación de Recorded Future, el Grupo Insikt, dijo que vio ser explotado por actores de amenazas vinculados a China el 30 de mayo, apenas 24 horas después de la divulgación inicial.
“También se confirmó más tarde que la vulnerabilidad se usó en tres campañas de actores de amenazas antes de la divulgación pública, incluida una campaña de phishing dirigido a entidades en Arabia Saudita. La explotación antes de la divulgación muestra la rapidez con la que los grupos APT aprovechan las nuevas vulnerabilidades importantes”, dijo el equipo.
“Una conclusión clave de la divulgación de Follina es la rapidez con la que los atacantes utilizan exploits basados en maldoc ahora que Microsoft está desactivando las macros basadas en VBA de forma predeterminada”, agregaron.
“Los equipos de seguridad deben prepararse para una segunda mitad del año llena de acontecimientos, ya que es probable que se descubran formas adicionales en las que los sistemas de Microsoft son vulnerables a las vulnerabilidades maldoc”.
El equipo dijo que estaba rastreando varios días cero en una amplia gama de productos y software, incluidas herramientas de soporte remoto, sistemas operativos, servicios de Active Directory e incluso controladores de gráficos. De las siete vulnerabilidades más críticas enumeradas, cinco eran de día cero cuando se divulgaron, lo que significa que los usuarios no tuvieron tiempo de parchear antes de que los actores maliciosos comenzaran a explotarlas.
“La mera gestión de vulnerabilidades por sí sola no es suficiente”, dijo. “Se recomienda encarecidamente a los equipos de seguridad que implementen un enfoque de defensa en profundidad en sus redes”.
La lista completa de vulnerabilidades, en orden de gravedad, contenida en el primero de CVE Monthly es la siguiente:
- CVE-2022-30190 (Follina), un día cero en la herramienta de soporte remoto de Windows de Microsoft;
- CVE-2022-26925, un día cero en el servicio de seguridad de Windows de Microsoft;
- CVE-2022-26923, en el servicio de directorio de Windows de Microsoft (Active Directory);
- CVE-2022-20821, un día cero en el sistema operativo de red IOS XR de Cisco;
- CVE-2022-29104, en operaciones de impresora de Microsoft Windows;
- CVE-2022-22675, un día cero en el servicio de decodificación de audio y video AppleAVD de Apple;
- CVE-2022-22674, un día cero en el controlador de gráficos macOS de Apple;
- Y CVE-2022-26134, un día cero en el software de colaboración Confluence de Atlassian, que es significativo pero no figura como crítico.
¿Qué pasa con el martes de parches?
A principios de este año, Microsoft anunció Windows Autopatch, un servicio automatizado que efectivamente se hará cargo de las tareas de parcheo de los administradores de seguridad en apuros.
El desarrollo de Windows Autopatch, que será una característica de las licencias de Windows Enterprise E3 y cubre Windows 10, 11 y 365 por ahora, fue impulsado precisamente por esta preocupación de que la gran complejidad de la mayoría de los entornos de TI ha aumentado enormemente la cantidad de vulnerabilidades potenciales que los equipos deben mantenerse al tanto, lo que genera brechas de seguridad inevitables.
“Este servicio mantendrá actualizado automáticamente el software de Windows y Office en los terminales registrados, sin costo adicional”, dijo Lior Bela de Microsoft en ese momento. “Los administradores de TI pueden ganar tiempo y recursos para generar valor. El segundo martes de cada mes será ‘solo otro martes’”.
