El día 12 de abril del presente año, Microsoft ha lanzado su nueva ronda de actualizaciones para su producto estrella, Windows, corregido en esta misma 145 vulnerabilidades (incluyendo 26 vulnerabilidades de Microsoft Edge), las cuales 2 han sido clasificadas como Zero-days, ya que permiten la ejecución de código remoto. Las actualizaciones van dirigidas tanto a Windows, cómo para Defender, Office, Exchange Server, Visual Studio, Print Spooler, entre otros.
De las 145 vulnerabilidades, 10 han sido calificadas como Críticas, 115 como Importantes y 3 se calificaron como Moderados en gravedad, con una de las fallas enumeradas como conocidas públicamente y siendo utilizadas en ataques al momento de escribir esta publicación.
Los 2 zero-days que viene a parchear la actualización de Abril son las siguientes:
- CVE-2022-24521: Con una puntuación de CVSS 7.8 de 10.0, se relaciona con una vulnerabilidad de elevación de privilegios en el Sistema de archivos de registro común (CLFS) de Windows. Se tiene registros que este Zero-day esta siendo usado de manera activa por diferentes actores de Amenazas.
- CVE-2022-26904: Con una puntuación de CVSS 7.0 de 10.0, que también se refiere a un caso de escalamiento de privilegios pero el Servicio de perfil de usuario en Windows.
Otras vulnerabilidades consideradas cómo críticas a tener en cuenta son las siguientes:
- CVE-2022-26809: Windows Remote Procedure Call Runtime (CVSS – 9.8/10.0) – Esta vulnerabilidad podría permitir a un atacante de forma remota, el poder de ejecutar código con altos privilegios en un sistema afectado. Dado que no se requiere ninguna interacción con el usuario, estos factores se combinan para hacer que esto sea susceptible de convertirse en un gusano, al menos entre las máquinas a las que se puede acceder mediante RPC. Sin embargo, el puerto estático utilizado aquí es el TCP 135 y suele estar bloqueado en el perímetro de la red. Aún así, este fallo podría ser utilizado para el movimiento lateral por un atacante. Definitivamente hay que probarlo y desplegarlo rápidamente.
- CVE-2022-24491/24497: Windows Network File System (CVSS – 9.8/10.0) – Estas dos vulnerabilidades de NFS están catalogadas como «explotables». En los sistemas en los que el rol NFS está habilitado, un atacante de forma remota, podría ejecutar código y obtener privilegios y sin interacción del usuario. Una vez más, esto se suma a un fallo de gusano, al menos entre servidores NFS. Al igual que el RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) «es amigable con el firewall y simplifica el despliegue de NFS». Compruebe sus instalaciones y despliegue estos parches rápidamente.
Y las demás vulnerabilidades consideraras como Críticas:
- CVE-2022-24541: Windows SMB (CVSS – 8.8/10.0)
- CVE-2022-24500: Windows SMB (CVSS – 8.8/10.0)
- CVE-2022-23259: Microsoft Dynamics (CVSS – 8.8/10.0)
- CVE-2022-23257: Role: Windows Hyper-V (CVSS – 8.6/10.0)
- CVE-2022-26919: LDAP – Lightweight Directory Access Protocol (CVSS – 8.1/10.0)
- CVE-2022-22008: Role: Windows Hyper-V (CVSS – 7.7/10.0)
- CVE-2022-24537: Role: Windows Hyper-V (CVSS – 7.7/10.0)
Recomendados a todos los Sysadmins y Administradores de Sistemas, el tomar en cuenta las actualizaciones e implementarlas en sus dependencias lo más pronto posible.
Más Información:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence