La actualización del martes de parches de septiembre de Microsoft llegó según lo programado a fines del 13 de septiembre, y este mes contenía cinco vulnerabilidades y exposiciones comunes críticas (CVE) y una de día cero explotada activamente, entre un total de 64 correcciones de errores.
El día cero, rastreado como CVE-2022-37969, es una vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro común de Windows. Afecta a todas las versiones de Windows y, si se aprovecha con éxito, un atacante podría obtener privilegios a nivel del sistema.
Microsoft dijo que el día cero fue informado por cuatro personas u organizaciones diferentes de forma independiente, lo que sugiere que su explotación puede estar generalizada. Sin embargo, solo se clasifica como Importante, con una puntuación CVSS de 7,8, porque requiere la autenticación de un actor de amenazas, pero esto no lo hace menos peligroso.
“El ataque requiere que el atacante tenga acceso y capacidad para ejecutar código en el sistema de destino, pero encadenar múltiples vulnerabilidades en un ataque es una práctica lo suficientemente común como para que se considere una barrera menor para los actores de amenazas”, dijo Chris Goettl, vicepresidente. de productos de seguridad en Ivanti.
La caída de septiembre también incluye una segunda vulnerabilidad divulgada públicamente pero aparentemente sin explotar en los sistemas Windows 11 basados en ARM que podría permitir la restricción de especulación de caché. Se rastrea como CVE-2022-23960 y también se conoce como Spectre-BHB. Es una variante de Spectre v2, que se ha reinventado varias veces y ha estado persiguiendo varias arquitecturas de procesador durante cinco años en este punto.
“Esta clase de vulnerabilidades representa un gran dolor de cabeza para las organizaciones que intentan mitigarlas”, dijo Bharat Jogi, director de investigación de vulnerabilidades y amenazas en Qualys, “ya que a menudo requieren actualizaciones de los sistemas operativos, firmware y, en algunos casos, una recopilación de aplicaciones y endurecimiento. Si un atacante explota con éxito este tipo de vulnerabilidad, podría obtener acceso a información confidencial”.
Las otras vulnerabilidades críticas parcheadas ayer son las siguientes:
- CVE-2022-34700, una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Dynamics 365 (local).
- CVE-2022-34718, una vulnerabilidad RCE en Windows TCP/IP.
- CVE-2022-34721, una vulnerabilidad RCE en las extensiones del protocolo de intercambio de claves de Internet (IKE) de Windows.
- CVE-2022-34722, una segunda vulnerabilidad RCE en las extensiones del protocolo IKE de Windows.
- CVE-2022-35805, una vulnerabilidad RCE en Microsoft Dynamics CRM (local).
Al evaluar algunas de estas vulnerabilidades críticas, Mike Walters, presidente y cofundador de Action1, un especialista en administración y monitoreo remoto, dijo: “CVE-2022-34722 y CVE-2022-34721… ambos tienen baja complejidad para la explotación y permiten que los actores de amenazas para realizar el ataque sin interacción del usuario… Aún no se ha detectado ningún exploit o PoC en la naturaleza; sin embargo, es muy recomendable instalar la solución”, dijo.
Walters también advirtió a los equipos de seguridad que presten atención a CVE-2022-34724, una vulnerabilidad de denegación de servicio en el servidor DNS de Windows, que, según dijo, probablemente sea explotada.
“Es un ataque a la red de baja complejidad, pero afecta solo a los sistemas que ejecutan el servicio IPsec, por lo que si un sistema no necesita el servicio IPsec, desactívelo lo antes posible”, dijo. “Esta vulnerabilidad puede explotarse en ataques a la cadena de suministro donde las redes de contratistas y clientes están conectadas por un túnel IPsec. Si tiene túneles IPsec en su infraestructura de Windows, esta actualización es imprescindible”.
Kev Breen de Immersive Labs también destacó algunas vulnerabilidades de RCE de SharePoint que dijo que deberían estar más arriba en la lista de prioridades en las organizaciones que tienen SharePoint instalado.
“Rastreado como CVE-2022-35823, CVE-2022-38008, CVE-2022-38009 y CVE-2022-37961, sin embargo, un atacante necesitaría acceso autenticado con la capacidad de editar el contenido existente. Este tipo de vulnerabilidad probablemente sería abusada por un atacante que ya tiene el punto de apoyo inicial para moverse lateralmente a través de la red”, dijo Breen.
“Esto podría afectar a las organizaciones que usan SharePoint para wikis internas o almacenes de documentos. Los atacantes pueden explotar esta vulnerabilidad para robar información confidencial, reemplazar documentos con nuevas versiones que contengan código malicioso o macros para infectar otros sistemas”.
Finalmente, Chris Goettl de Ivanti llamó la atención sobre otros dos errores importantes: “Existe una vulnerabilidad de elevación de privilegios en la cola de impresión: CVE-2022-38005 – resuelto este mes. Desde PrintNightmare, se han resuelto varias vulnerabilidades adicionales de Print Spooler. Algunos han causado desafíos adicionales para ciertos proveedores y modelos de impresoras. Si ha experimentado desafíos, sería bueno probar esta actualización con un cuidado adicional para asegurarse de que ningún problema afecte su entorno.
“Una vulnerabilidad de elevación de privilegios: CVE-2022-38007 – en Azure ARC y Azure Guest Configuration podría permitir que un atacante reemplace el código enviado por Microsoft con su propio código. Esto podría permitir que el código del atacante se ejecute como root como un demonio en el contexto del servicio afectado”.
