El 11 de agosto del presente año, Microsoft ha lanzado su nueva ronda de actualizaciones para su producto estrella, Windows, corrigiendo en esta misma 84 vulnerabilidades, las cuales 13 han sido clasificadas como Críticas, ya que permiten la elevación de privilegios, la suplantación de identidad o la ejecución remota de código.
El número de vulnerabilidades en cada categoría se enumeran de la siguiente forma:
- 🚨 39 vulnerabilidades de elevación de privilegios.
- 🚨 2 vulnerabilidades de omisión de funciones de seguridad.
- 🚨 20 vulnerabilidades de ejecución remota de código.
- 🚨 11 vulnerabilidades de divulgación de información.
- 🚨 8 vulnerabilidades de denegación de servicio.
- 🚨 4 vulnerabilidades de suplantación de identidad.
Dos ZERO-DAY mitigados, pero uno en explotación activa
El parche del día martes, correspondiente al mes de octubre, corrige dos vulnerabilidades de día cero que ya se encuentran de manera pública, donde una de ellas está siendo explotada activamente en diferentes ataques y otra divulgada públicamente.
La vulnerabilidad de día cero explotada activamente ha sido rastreada como CVE-2022-41033, una vulnerabilidad de elevación de privilegios del servicio del sistema de eventos COM+ de Windows. Si un atacante logra explotar de manera exitosa esta vulnerabilidad, podría obtener privilegios en el sistema operativo.
Dato curioso, la vulnerabilidad explotada aparece como descubierta por un investigador «Anónimo«.
La vulnerabilidad divulgada públicamente ha sido rastreada como CVE-2022-41043, una vulnerabilidad de divulgación de información de Microsoft Office y que fue descubierta por Cody Thomas, de SpecterOps. Según Microsoft, los atacantes podrían usar esta vulnerabilidad para obtener acceso a los tokens de autentificación del usuario, y de allí, entrar a otros lugares del sistema.
Los ZERO-DAY NO solucionados – ProxyNotShell
Desafortunadamente, Microsoft no ha publicado las actualizaciones de seguridad para las dos vulnerabilidades de día cero explotadas activamente y rastreadas como CVE-2022-41040 y CVE-2022-41082, también denominadas como «ProxyNotShell».
Estas vulnerabilidades fueron reveladas a fines de septiembre por el equipo de seguridad cibernética vietnamita GTSC, quien fue el primero en detectar e informar sobre este ataque en un servidor Exchange. Luego del primer paso de GTSC, las vulnerabilidades fueron reveladas a Microsoft a través de la iniciativa Zero Day de Trend Micro.
Sin embargo, el boletín de seguridad de Microsoft Exchange del día de ayer ha indicado que las correcciones no están listas.
«Las actualizaciones de octubre de 2022 NO contienen correcciones para las vulnerabilidades de día cero informadas públicamente el 29 de septiembre de 2022 (CVE-2022-41040 y CVE-2022-41082)«, se lee en el boletín de Microsoft Exchange.
Hasta el momento de realizar esta publicación, Microsoft sigue recomendando el aplicar algunas configuraciones en los servidores de Exchange para mitigar temporalmente la ejecución de los Zero-Days vinculados a ProxyNotShell. Lamentablemente, se ha demostrado que muchas de las soluciones propuestas por Microsoft han sido bypasseadas por expertos en ciberseguridad.
Recomendamos a todos los Sysadmins y Administradores de Sistemas, el tomar en cuenta las actualizaciones e implementarlas en sus dependencias lo más pronto posible.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
