Microsoft lanzó la última actualización del martes de parches, al menos en su forma actual, ayer por la noche, pero los investigadores de seguridad están expresando una creciente preocupación de que el Centro de respuesta de seguridad de Microsoft (MSRC) está fallando repetidamente cuando se trata de manejar las divulgaciones de manera adecuada.
Ayer, Computer Weekly y otros informaron sobre la experiencia de Tzah Pahima, un investigador de Orca Security, que esperó casi seis meses y rompió dos parches separados antes de que Microsoft sellara una vulnerabilidad crítica en Azure Synapse Analytics.
Al mismo tiempo, nuestro título hermano SearchSecurity.com reveló que los investigadores de Tenable estaban igualmente insatisfechos con la respuesta de Microsoft a la revelación de dos vulnerabilidades, coincidentemente también en Azure Synapse. Acusaron a Microsoft de falta de transparencia en su proceso de presentación de informes.
A través de comentarios enviados por correo electrónico, la ingeniera de investigación sénior de Tenable, Claire Tills, dijo a Computer Weekly: “Sobre el tema del patrón preocupante de Microsoft de descartar preocupaciones legítimas de seguridad, el investigador de Tenable, Jimi Sebree, descubrió y reveló dos vulnerabilidades en Azure Synapse Analytics de Microsoft, una de las cuales ha sido parcheada y uno que no tiene. A ninguna de estas vulnerabilidades se le asignaron números CVE ni se documentaron en la guía de actualización de seguridad de Microsoft para junio”.
Sebree escribió sobre una “desconexión importante de las comunicaciones” entre MSRC y el equipo responsable de Azure Synapse.
Las preocupaciones de los investigadores adquieren un sentido adicional de urgencia dada la respuesta bien documentada de Microsoft a CVE-2022-30190, el día cero conocido como Follina, que se descubrió a fines de mayo.
Según el hacker anónimo que lo descubrió, un miembro del colectivo de cazadores de amenazas Shadow Chaser quien va por el mango Crazyman, MSRC descartó Follina, una vulnerabilidad de clic cero en Microsoft Office que permite a un atacante ejecutar comandos de PowerShell sin interacción del usuario, cerró el ticket de Crazyman y dijo que “no era un problema relacionado con la seguridad”. Al ser un día cero, se demostró que este no era el caso en poco tiempo.
Computer Weekly contactó a Microsoft con preguntas sobre sus procedimientos de divulgación, pero no recibió una respuesta en el momento de la publicación.
La aventura final corrige la locura de Follina
Afortunadamente para los temerosos de Follina, la vulnerabilidad se corrigió en la última actualización del martes de parches, una de las 61 vulnerabilidades únicas y la única vulnerabilidad de día cero que ha estado bajo explotación activa. Sin embargo, según Todd Schell de Ivanti, puede haber sido una adición algo apresurada a la lista.
“Esta vulnerabilidad ha estado bajo ataque durante varios meses.Esta vulnerabilidadLa solución debe haber sido una adición tardía este mes, porque aunque aparece en la lista de vulnerabilidades de la Guía de seguridad, no se muestra en el desglose de CVE para cada parche”, dijo Schell.
Algunas de las otras vulnerabilidades más impactantes abordadas en el canto del cisne del martes de parches son CVE-2022-30137, una vulnerabilidad de ejecución remota de código (RCE) en el sistema de archivos de red de Windows, que tiene una puntuación CVSS altísima de 9.8, pero puede considerarse más difícil. para explotar porque un atacante normalmente necesita tener acceso a la red para aprovecharlo.
También vale la pena mencionar CVE-2022-30157 y CVE-2022-30158, ambas vulnerabilidades RCE en Microsoft SharePoint Server, que nuevamente requieren que un atacante haya establecido acceso inicial para explotar.
Quizás es más probable que se explote CVE 2022-30147, una vulnerabilidad de escalada de privilegios en Windows Installer que afecta tanto a entornos de escritorio como de servidor, lo que podría resultar útil para los atacantes que buscan privilegios de administrador para, por ejemplo, filtrar datos antes de implementar ransomware.
“Una vulnerabilidad de ejecución remota de código en Hyper-V suena aterradora cuando considera que, si se aprovecha, un atacante podría pasar de una máquina virtual invitada al host, accediendo a todas las máquinas virtuales en ejecución. Sin embargo, Microsoft ha marcado esta vulnerabilidad como menos probable de ser explotada”
Kev Breen, laboratorios de inmersión
Los equipos de seguridad también pueden querer priorizar CVE-2022-30163, una vulnerabilidad RCE en Windows Hyper-V. Kev Breen de Immersive Labs comentó: “Una vulnerabilidad de ejecución remota de código en Hyper-V suena aterradora cuando se considera que, si se explota, un atacante podría pasar de una máquina virtual invitada al host, accediendo a todas las máquinas virtuales en ejecución.
“Sin embargo, Microsoft ha marcado esta vulnerabilidad como menos probable de ser explotada. Esto probablemente se deba a que la complejidad es alta y requiere que un atacante gane una condición de carrera. Cuál es esa condición, no se revela. Este será de gran valor para los atacantes si se descubre un método para explotarlo fácilmente”.
Mientras tanto, Allan Liska de Recorded Future reflexionó sobre casi dos décadas de historia de Patch Tuesday. Él dijo: “El primer martes de parches se lanzó el 14 de octubre de 2003. El martes de parches se diseñó originalmente como una forma de que Microsoft lanzara todos sus parches al mismo tiempo y se eligió el martes porque les daba tiempo a los administradores del sistema para revisar y probar los parches y luego instalarlos. antes del fin de semana.
“El primer martes de parches tenía cinco vulnerabilidades etiquetadas como críticas por Microsoft, incluida MS03-046, una vulnerabilidad de ejecución remota de código en Microsoft Exchange.
“Cuanto más cambian las cosas, más permanecen igual. Durante casi 20 años, Patch Tuesday ha sido un elemento básico para los administradores de sistemas, el personal de TI, los usuarios domésticos y los analistas, pero también dejó de ser útil durante mucho tiempo”, dijo.
“Microsoft depende cada vez más de los lanzamientos de parches fuera de ciclo porque los malos están mejorando en armar vulnerabilidades y explotar esos sistemas vulnerables más rápido. Abandonar el martes de parches permitirá, con suerte, que Microsoft responda a las nuevas vulnerabilidades más rápido y que los parches se eliminen antes”, agregó Liska.
Reparación de parches automáticos, reemplazo de parches automáticos
De ahora en adelante, como se informó anteriormente, Patch Tuesday será reemplazado por un nuevo servicio automatizado, Windows Autopatch, disponible para Licencias de Windows Enterprise E3 y que cubren Windows 10, 11 y Windows 365.
Este servicio, que mantendrá actualizado el software de Windows y Office en los endpoints inscritos sin costo adicional, se desarrolló en respuesta a la creciente complejidad de los entornos de TI, que ha aumentado enormemente la cantidad y el alcance de las vulnerabilidades que los equipos de seguridad deben enfrentar. y hace que el segundo martes del mes sea algo tenso.
Microsoft cree que al automatizar la administración de parches, puede brindar una respuesta más oportuna a los cambios. Además, gracias a una función dedicada llamada Rings, que “enviará actualizaciones en cascada” a través de un conjunto básico de dispositivos de prueba del usuario para probar y validar (incluida la posibilidad de revertir la actualización si las cosas van mal), los equipos de seguridad supuestamente pueden tener más confianza en la introducción de nuevos parches sin causar problemas.
