El día 10 de mayo del presente año, Microsoft ha lanzado su nueva ronda de actualizaciones para su producto estrella, Windows, corrigiendo en esta misma 75 vulnerabilidades, las cuales 8 han sido clasificadas como Críticas, esto es debido ya que permiten la ejecución de código remoto o elevación de privilegios en el sistema sin los parches correspondientes. Adicional a ello, de las 75 vulnerabilidades mitigadas, 3 han sido categorizadas como Zero-Days, con una de ellas siendo explotada de manera activa por diferentes actores de amenazas.
El número de vulnerabilidades en cada categoría se enumeran de la siguiente forma:
- 26 Vulnerabilidades de ejecución de código remoto.
- 21 Vulnerabilidades de escalamiento de privilegios.
- 17 Vulnerabilidades de divulgación de información.
- 6 Vulnerabilidades de denegación de servicio.
- 4 Vulnerabilidades de omisión de funciones de seguridad.
- 1 vulnerabilidad de suplantación de identidad.
Microsoft clasifica una vulnerabilidad como Zero-Day si se divulga públicamente o se encuentra siendo explotada de manera activa por agentes no autorizados, sin una solución oficial disponible por la empresa.
El Zero-Day que se encuentra siendo explotada activamente es para un nuevo ataque de retransmisión NTLM que usa una falla LSARPC, la vulnerabilidad ha sido identificada como CVE-2022-26925 – Vulnerabilidad de suplantación de Windows LSA. Con este ataque, los actores de amenazas pueden interceptar solicitudes de autenticación legítimas y usarlas para obtener privilegios elevados en el sistema, incluso hasta el punto de asumir la identidad de un controlador de dominio.
Las otras 2 vulnerabilidades Zero-Day expuestos públicamente son una vulnerabilidad de denegación de servicio en Hyper-V y una nueva vulnerabilidad de ejecución remota de código en Azure Synapse y Azure Data Factory .
- CVE-2022-22713: vulnerabilidad de denegación de servicio de Windows Hyper-V
- CVE-2022-29972:– Insight Software: CVE-2022-29972 Magnitud Simba Amazon Redshift ODBC Driver.
Las 8 vulnerabilidades cuya clasificación es considerada como Críticas son las siguientes:
- ADV220001: Próximas mejoras en la infraestructura de Azure Data Factory y Azure Synapse Pipeline en respuesta a CVE-2022-29972.
- CVE-2022-22017: Vulnerabilidad de ejecución remota de código de cliente de escritorio remoto.
- CVE-2022-29972: Insight Software: CVE-2022-29972 Magnitud Simba Amazon Redshift Controlador ODBC.
- CVE-2022-26923: Vulnerabilidad de elevación de privilegios de los servicios de dominio de Active Directory.
- CVE-2022-26931: Vulnerabilidad de elevación de privilegios de Windows Kerberos.
- CVE-2022-26937: Vulnerabilidad de ejecución remota de código del sistema de archivos de red de Windows.
- CVE-2022-23270: Vulnerabilidad de ejecución remota de código del protocolo de tunelización punto a punto.
- CVE-2022-21972: Vulnerabilidad de ejecución remota de código del protocolo de tunelización punto a punto.
Recomendamos a todos los Sysadmins y Administradores de Sistemas, el tomar en cuenta las actualizaciones e implementarlas en sus dependencias lo más pronto posible.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
