Microsoft ha publicado correcciones para 48 nuevas vulnerabilidades en sus productos, incluida una que los atacantes están explotando activamente y otra que se ha divulgado públicamente pero que ahora no se encuentra bajo explotación activa.
Seis de las vulnerabilidades que la empresa corrigió en su actualización de seguridad mensual final del año se enumeran como críticas. Asignó una calificación de gravedad importante a 43 vulnerabilidades y otorgó a tres fallas una evaluación de gravedad moderada.
actualización de microsoft incluye parches para CVE fuera de banda que abordó durante el último mes, además de 23 vulnerabilidades en la tecnología del navegador Chromium de Google, en la que se basa el navegador Edge de Microsoft.
Error de seguridad explotado activamente
La falla que los atacantes están explotando activamente (CVE-2022-44698) no se encuentra entre los errores más críticos para los que Microsoft lanzó parches hoy. La falla brinda a los atacantes una forma de eludir la función de seguridad de Windows SmartScreen para proteger a los usuarios contra archivos maliciosos descargados de Internet.
“Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), lo que daría como resultado una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW”, dijo Microsoft.
CVE-2022-44698 presenta solo un riesgo relativamente pequeño para las organizaciones, dice Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs. “Tiene que usarse junto con un archivo ejecutable u otro código malicioso como un documento o archivo de script”, dice Breen. “En estas situaciones, este CVE pasa por alto algunos de los análisis y la detección de reputación integrados de Microsoft, a saber, SmartScreen, que normalmente aparecería para decirle al usuario que el archivo puede no ser seguro”.
Al mismo tiempo, los usuarios no deben subestimar la amenaza y deben solucionar el problema rápidamente, recomienda Breen.
Microsoft describió otra falla, un problema de elevación de privilegios en el núcleo de gráficos DirectX, como un día cero conocido públicamente pero no bajo una explotación activa. La empresa evaluó la vulnerabilidad (CVE-2022-44710) como "Importante" en gravedad y que permitiría a un atacante obtener privilegios a nivel del sistema si se explota. Sin embargo, la compañía describió la falla como una que es menos probable que los atacantes exploten.
Vulnerabilidades para parchear ahora
ZDI de Trend Micro marcó otras tres vulnerabilidades en la actualización de seguridad del martes de parches de diciembre como significativas: CVE-2022-44713, CVE-2022-41076y CVE-2022-44699.
CVE-2022-44713 es una vulnerabilidad de suplantación de identidad en Microsoft Outlook para Mac. La vulnerabilidad permite que un atacante aparezca como un usuario de confianza y hace que la víctima confunda un mensaje de correo electrónico como si viniera de un usuario legítimo.
"No solemos destacar los errores de suplantación de identidad, pero cada vez que se enfrenta a un error de suplantación de identidad en un cliente de correo electrónico, debe tomar nota", dijo Dustin Childs, jefe de concienciación sobre amenazas de ZDI. dijo en una publicación de blog. La vulnerabilidad podría resultar especialmente problemática cuando se combina con la falla de derivación SmartScreen MoTW antes mencionada que los atacantes están explotando activamente, dijo.
CVE-2022-41076 es una vulnerabilidad de ejecución remota de código (RCE) de PowerShell que permite a un atacante autenticado escapar de la configuración de sesión remota de PowerShell y ejecutar comandos arbitrarios en un sistema afectado, dijo Microsoft.
La empresa evaluó la vulnerabilidad como algo que es más probable que los atacantes comprometan, a pesar de que la complejidad del ataque en sí es alta. Según Childs, las organizaciones deben prestar atención a la vulnerabilidad porque es el tipo de falla que los atacantes suelen explotar cuando buscan "vivir de la tierra" después de obtener acceso inicial a una red.
“Definitivamente no ignores este parche”, escribió Childs.
Y finalmente, CVE-2022-44699 es otra vulnerabilidad de omisión de seguridad, esta vez en Azure Network Watcher Agent. - que, si se explota, podría afectar la capacidad de una organización para capturar los registros necesarios para la respuesta a incidentes.
“Es posible que no haya muchas empresas que confíen en esta herramienta, pero para aquellos que usan esta extensión de máquina virtual [Azure Network Watcher], esta solución debe tratarse como crítica e implementarse rápidamente”, dijo Childs.
Investigadores con Cisco Talos identificó otras tres vulnerabilidades como críticos y problemas que las organizaciones deben abordar de inmediato. Uno de ellos es CVE-2022-41127, una vulnerabilidad RCE que afecta a Microsoft Dynamics NAV y las versiones locales de Microsoft Dynamics 365 Business Central. Un exploit exitoso podría permitir que un atacante ejecute código arbitrario en servidores que ejecutan la aplicación ERP Dynamics NAV de Microsoft, dijeron los investigadores de Talos en una publicación de blog.
Las otras dos vulnerabilidades que el proveedor considera de gran importancia son CVE-2022-44670 y CVE-2022-44676, los cuales son fallas RCE en el protocolo de túnel de sockets seguros (SSTP) de Windows.
“La explotación exitosa de estas vulnerabilidades requiere que un atacante gane una condición de carrera, pero podría permitir que un atacante ejecute código de forma remota en servidores RAS”, según el aviso de Microsoft.
Entre las vulnerabilidades que presenta el Centro de tormentas de Internet SANS identificados como importantes son (CVE-2022-41089), un RCE en .NET Framework, y (CVE-2022-44690) en Microsoft SharePoint Server.
En un del blog, Mike Walters, vicepresidente de investigación de vulnerabilidades y amenazas en Action1 Corp., también señaló una vulnerabilidad de elevación de privilegios de Windows Print Spooler (CVE-2022-44678), como otro problema para ver.
“Es más probable que se explote el CVE-2022-44678 recientemente resuelto, lo que probablemente sea cierto porque Microsoft solucionó otra vulnerabilidad de día cero relacionada con Print Spooler el mes pasado”, dijo Walters. “El riesgo de CVE-2022-44678 es el mismo: un atacante puede obtener privilegios de SISTEMA después de una explotación exitosa - pero solo localmente”.
Un conteo de errores confuso
Curiosamente, varios proveedores tenían opiniones diferentes sobre la cantidad de vulnerabilidades que Microsoft parchó este mes. ZDI, por ejemplo, evaluó que Microsoft parchó 52 vulnerabilidades; Talos fijó el número en 48, SANS en 74 y Action1 inicialmente tenía Microsoft parcheando 74, antes de revisarlo a 52.
Johannes Ullrich, decano de investigación del Instituto de Tecnología SANS, dice que el problema tiene que ver con las diferentes formas en que se pueden contar las vulnerabilidades. Algunos, por ejemplo, incluyen vulnerabilidades de Chromium en su cuenta, mientras que otros no.
Otros, como SANS, también incluyen avisos de seguridad que a veces acompañan a las actualizaciones de Microsoft como vulnerabilidades. Microsoft a veces también lanza parches durante el mes, que también incluye en la siguiente actualización del martes de parches, y algunos investigadores no los cuentan.
"El recuento de parches a veces puede ser confuso, ya que el ciclo de martes de parches es técnicamente de noviembre a diciembre, por lo que también incluirá parches que se lanzaron fuera de banda a principios de mes y también puede incluir actualizaciones de proveedores externos", dice Breen. . "El más notable de estos son los parches de Google de Chromium, que es la base para el navegador Edge de Microsoft".
Breen dice que, según su recuento, hay 74 vulnerabilidades parcheadas desde el último martes de parches en noviembre. Esto incluye 51 de Microsoft y 23 de Google para el navegador Edge.
“Si excluimos los [parches] fuera de banda y Google Chromium, hoy se lanzaron 49 parches para vulnerabilidades”, dice.
Un portavoz de Microsoft dice que la cantidad de nuevos CVE para los que la compañía emitió parches hoy fue de 48.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/microsoft-squashes-zero-day-actively-exploited-bugs-dec-update
