El pasado martes, 10 de mayo, Microsoft publicó parches y actualizaciones para 74 vulnerabilidades. De estas, al menos una está siendo explotada por varios ciberdelincuentes de manera activa, por lo que la recomendación es instalar estos parches lo antes posible.
CVE-2022-26925: la más peligrosa de las vulnerabilidades detectadas
Al parecer, de las vulnerabilidades a las que va dirigida este paquete de actualizaciones, la más peligrosa es la CVE-2022-26925, la cual se incluye en la autoridad de seguridad local de Windows. Aunque en un principio la vulnerabilidad tiene una puntuación de 8,1 (lo que es relativamente bajo), los representantes de Microsoft consideran que, cuando esta es usada en ataques de retransmisión NTLM en servicios de Active Directory, el nivel de gravedad puede elevarse hasta un 9,8. Esto se debe a que, en esta situación, CVE-2022-26925 podría dejar que un atacante se autentifique en un controlador de dominio.
Esta vulnerabilidad puede afectar a todos los sistemas operativos Windows, desde Windows 7 (Windows Server 2008 para sistemas de servidor) en adelante. Microsoft no entró en detalles sobre la explotación de esta vulnerabilidad, pero, si juzgamos por la descripción del problema, varios atacantes desconocidos utilizan ya de manera activa los exploits para CVE-2022-26925. La buena noticia es que, según los expertos, es bastante difícil aprovechar esta vulnerabilidad en ataques reales.
El parche detecta y deniega los intentos de conexión anónima al protocolo remoto de la autoridad de seguridad local. No obstante, según las FAQ oficiales, la instalación de esta actualización en Windows Server 2008 SP2 puede afectar al software de copia de seguridad.
Otras vulnerabilidades
Además de CVE-2022-26925, la última actualización corrige varias vulnerabilidades de nivel “crítico”. Entre ellas se encuentra la RCE CVE-2022-26937 en el sistema de archivos de red de Windows (NFS), así como CVE-2022-22012 y CVE-2022-29130, dos vulnerabilidades RCE en el servicio LDAP.
Dos de estas vulnerabilidades ya se conocían de manera pública cuando se publicaron los parches: CVE-2022-29972 – un error en el controlador Magnitude Simba Amazon Redshift de Insight Software, y CVE-2022-22713 – una vulnerabilidad DoS en Windows Hyper-V. Eso sí, hay que recalcar que a la fecha, no se ha sido detectado ningún intento de explotación de estos dos casos.
Cómo protegerse
Lo más importante y que hay que hacer cuanto antes es instalar las actualizaciones recientes de Microsoft. Si, por alguna razón, no puedes hacerlo, consulta la sección de preguntas frecuentes, mitigaciones y soluciones de la Guía Oficial de Actualizaciones de Seguridad de mayo de 2022 de Microsoft. Es probable que alguno de los métodos aquí descritos te servirá para protegerte de aquellas vulnerabilidades que puedan afectar a tu equipo.
Nosotros recomendamos proteger todos los dispositivos conectados a Internet con una solución fiable que detecte la explotación de vulnerabilidades hasta ahora desconocidas.