Otro año, otro martes

Microsoft inició el año con un arreglo masivo de vulnerabilidades al publicar no solo su primera actualización periódica de los martes, que en esta ocasión cubre un total de 96 vulnerabilidades, sino también emitió varios otros arreglos para el navegador Microsoft Edge (principalmente en relación con el motor Chromium). En total suman más 120 vulnerabilidades parcheadas desde el inicio del año. Este es un motivo claro para actualizar el sistema operativo y algunas aplicaciones de Microsoft lo antes posible.

Las vulnerabilidades más graves

Nueve de las vulnerabilidades que se cerraron este martes tienen una clasificación crítica en la escala CVSS 3.1. De estas, dos están relacionadas con la escalación privilegios: CVE-2022-21833 En el disco IDE virtual y CVE-2022-21857 en Active Directory Domain Services. La explotación de las otras siete pueden otorgar al atacante la capacidad de ejecución remota de código:

• CVE-2022-21917 en HEVC Video Extensions
• CVE-2022-21912 y CVE-2022-21898 en DirectX Graphics Kernel.
• CVE-2022-21846 en Microsoft Exchange Server
• CVE-2022-21840 en Microsoft Office
• CVE-2021-22947 en Open Source Curl
• CVE-2022-21907 en la pila de protocolos HTTP

Esta última parece ser la vulnerabilidad más desagradable. Un error en la pila de protocolos HTTP, en teoría, permite que los atacantes no solo hagan que la computadora afectada ejecute código arbitrario, sino también que propague el ataque en la red local (de acuerdo con la terminología de Microsoft, la vulnerabilidad está clasificada como wormable, es decir, que puede utilizarse para crear un gusano). Esta vulnerabilidad es relevante para Windows 10, Windows 11, Windows Server 2022 y Windows Server 2019. Sin embargo, de acuerdo con Microsoft, es peligroso para los usuarios de Windows Server 2019 y Windows 10 versión 1809 solo si habilitan HTTP Trailer Support con la clave EnableTrailerSupport en el registro.

Los expertos también expresaron su preocupación sobre la presencia de otra vulnerabilidad seria en Microsoft Exchange Server, CVE-2022-21846, (la cual, por cierto, no es el único error de la lista, solo el más peligroso). Se entiende la preocupación, ya que nadie quiere que vuelva a suceder la ola de vulnerabilidades explotadas en Exchange como el año pasado.

Vulnerabilidades con PoC

La comunidad de la seguridad ya conocía algunas de las vulnerabilidades arregladas. Además, alguien ya publicó pruebas de concepto para estas:

• CVE-2022-21836 — Vulnerabilidad de falsificación de certificados de Windows
• CVE-2022-21839 — Vulnerabilidad de denegación de servicio en la lista de control de acceso discrecional de Windows Event Tracing
• CVE-2022-21919 — Vulnerabilidad de elevación de privilegios en el servicio de perfil de usuario de Windows

Aún no hemos observados ataques reales con estas vulnerabilidades. Sin embargo, las pruebas de concepto ya están disponibles al público, por lo que la explotación puede suceder en cualquier momento.

Cómo protegerse

En primer lugar, necesitas actualizar tu sistema operativo (y otros programas de Microsoft) lo antes posible. En general, es buena idea no retrasar la instalación de parches para software crítico.

En segundo lugar, cualquier computadora o servidor conectado al Internet debe estar equipado con una solución de seguridad de confianza que no solo pueda evitar la explotación de vulnerabilidades conocidas, sino que también detecte ataques con exploits que aún se desconocen.