Los cazadores de vulnerabilidades de Microsoft están de vuelta y no justamente con las manos vacías: 64 vulnerabilidades (cinco de ellas son críticas) en diversos productos y servicios. Dos vulnerabilidades se difundieron de manera pública antes de que se lanzara el parche (lo que las convierte en vulnerabilidades de días cero), y una está siendo explotada activamente por atacantes. Como siempre, Nuestra recomendación es instalar cuanto antes las actualizaciones, mientras tanto, hablemos un poco de aquellas que merecen atención especial.
CVE-2022-37969: Explotada activamente por los atacantes
CVE-2022-37969 es una vulnerabilidad de día cero en el controlador de Common Log File System. De los fallos parcheados en la última actualización no es el más peligroso (su calificación CVSS es solo de 7,8), ya que, para aprovecharlo, los atacantes necesitan acceder de alguna manera a la computadora de la víctima. No obstante, una explotación exitosa les dejará elevar sus privilegios hasta SYSTEM. De acuerdo con Microsoft, algunos atacantes en la vida real, ya usan el exploit para esta vulnerabilidad; por tanto, debe ser parcheado cuanto antes.
Vulnerabilidades críticas
Las cinco vulnerabilidades críticas corregidas son de ejecución de código en remoto (RCE); o sea, pueden ser usadas para ejecutar código arbitrario en las computadoras de las víctimas.
- CVE-2022-34718. Consiste en un fallo en Windows TCP/IP con una calificación CVSS de 9,8. Un atacante no autorizado, mediante un paquete IPv6 especialmente diseñado, puede ejecutar código arbitrario en el equipo Windows atacado con el servicio IPSec habilitado.
- CVE-2022-34721 y CVE-2022-34722. Son vulnerabilidades en el protocolo de intercambio de claves de Internet que permiten a un atacante ejecutar código malicioso también mediante el envío de un paquete IP a un equipo vulnerable. Ambas con una calificación CVSS de 9,8. A pesar de que estas vulnerabilidades sólo afectan a la versión del protocolo IKEv1, Microsoft recuerda que todos los sistemas Windows Server son vulnerables porque aceptan tanto paquetes v1 como v2.
- CVE-2022-34700 y CVE-2022-35805: un par de vulnerabilidades en el software de gestión de relaciones con clientes (CRM) de Microsoft Dynamics. Su explotación permite que un usuario autenticado pueda ejecutar comandos SQL arbitrarios, tras esto, el atacante puede elevar sus derechos y ejecutar comandos dentro de la base de datos de Dynamics 365 con derechos de db owner. Debido a que el seguiría necesitando autenticación de algún tipo, las calificaciones CVSS de estas dos vulnerabilidades son ligeramente inferiores (8,8), pero lo bastante peligrosas como para ser consideradas críticas.
ARM – CVE-2022-23960: Una vulnerabilidad que afecta a los procesadores
CVE-2022-23960 es la segunda vulnerabilidad que se anunció de manera pública antes del parche. Teóricamente, esto podría significar que se podía explotar antes de que fuera parcheada, pero no parece que no es el caso. De hecho, CVE-2022-23960 es una variación de Spectre, la vulnerabilidad que interviene en el mecanismo de ejecución de instrucciones especulativas de un procesador. En otras palabras, la probabilidad de que se utilice en ataques reales es anecdótica: el peligro es teórico. Además, esta vulnerabilidad sólo concierne a Windows 11 en sistemas basados en ARM64, lo que hace que su explotación sea menos práctica.
Otras vulnerabilidades
Sorprendentemente, hay pocas vulnerabilidades “no peligrosas” en esta actualización del martes de parches de septiembre: solo una consiguió una calificación de gravedad baja y otra tiene una calificación media. El resto de las 57, aunque no son tan peligrosas como las cinco críticas de las que ya hablamos, pertenecen a la categoría de “importantes”. Por lo tanto, como recomendamos al principio de este post, es mejor actualizar lo antes posible.
Cómo protegerse
Lo primero sería corregir las vulnerabilidades ya parcheadas. Además, recomendamos proteger todas las computadoras y servidores con conexión a Internet con soluciones de seguridad que puedan detectar vulnerabilidades y prevenir exploits. Esto incrementará las defensas de tu empresa contra las vulnerabilidades tanto conocidas como desconocidas.