DogWalk y otras vulnerabilidades

Microsoft ha lanzado parches para más de 140 vulnerabilidades, algunas de las cuales deben cerrarse lo antes posible.

En este martes de parches de agosto, Microsoft corrigió más de cien vulnerabilidades. Algunas de estas requieren atención especial por parte del personal de ciberseguridad corporativa. Entre ellas hay 17 que son críticas, dos de las cuales son de día cero. Al menos una vulnerabilidad ya ha sido explotada de manera activa en el entorno, por lo que sería prudente no retrasar la implementación del parche. No es coincidencia que la agencia de seguridad de Infraestructura y Ciberseguridad de Estados Unidos recomiende poner atención a esta actualización.

DogWalk (alias CVE-2022-34713): vulnerabilidad RCE en MSDT

La más peligrosa de estas nuevas vulnerabilidades es CVE-2022-34713. Potencialmente, permite la ejecución remota de código malicioso (pertenece al tipo RCE). CVE-2022-34713, apodado DogWalk, es una vulnerabilidad en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), como Follina, que generó cierta expectativa en mayo de este año.

El problema radica en cómo es que el sistema maneja los archivos Cabinet (.cab). Para explotar la vulnerabilidad, el atacante debe atraer a un usuario para que abra un archivo malicioso que guarde el archivo .diagcab en la carpeta de inicio de Windows para que su contenido sea ejecutado a la próxima que se reinicie la computadora o se inicie sesión.

En realidad, DogWalk fue descubierto hace dos años, pero en ese entonces los desarrolladores del sistema, por alguna razón, no prestaron suficiente atención a este problema. Ahora la vulnerabilidad está arreglada, pero Microsoft ya ha detectado su explotación.

Otras vulnerabilidades de las que hay que cuidarse

La segunda vulnerabilidad de día cero cerrada el martes pasado es CVE-2022-30134. Está contenida en Microsoft Exchange. La información al respecto su publicó antes de que Microsoft pudiera crear el parche, pero hasta ahora esta vulnerabilidad no ha sido explotada en el entorno. Teóricamente, si un atacante logra utilizar CVE-2022-30134, podrá leer los mensajes del correo electrónicos de la víctima. Esta no es la única falla en Exchange que fue solucionada con el nuevo parche. También cierra las vulnerabilidades CVE-2022-24516, CVE-2022-21980 y CVE-2022-24477 que permiten a los atacantes aumentar sus privilegios.

En cuanto a la calificación CVSS, dos vulnerabilidades relacionadas son campeonas condicionales: CVE-2022-30133 y CVE-2022-35744. Ambas se encuentran en el Protocolo Point-to-Point (PPP). Ambas permiten a los atacantes enviar solicitudes al servidor de acceso remoto, lo que puede conducir a la ejecución de un código malicioso en la máquina. Y ambas tienen la misma puntuación CVSS: 9.8.

Para aquellos que por alguna razón no pueden instalar los parches de manera inmediata, Microsoft recomienda cerrar el puerto 1723 (las vulnerabilidades solo pueden explotar a través de él). No obstante, hay que tomar en cuenta que esto puede interrumpir la estabilidad de las comunicaciones en la red.

Cómo estar a salvo

Nuestra recomendación es instalar las actualizaciones de Microsoft lo antes posible, sin olvidar consultar toda la información en la sección de Preguntas Frecuentes, Mitigaciones, y Soluciones Alternativas en la guía de actualización que resulten relevantes para la infraestructura en cuestión.

Además, es bueno recordar que todos los equipos de la empresa con acceso a internet (ya sean estaciones de trabajo o servidores) deben estar equipados con [KESB placeholder] una solución de ciberseguridad confiable [KESB Placeholder], capaz de protegerlos contra la explotación de vulnerabilidad que aún no han sido detectadas.

Amenazas conocida, desconocidas y avanzadas

Consejos