Microsoft insta a los usuarios a parchear una vulnerabilidad de día cero denominada Dogwalk que se está explotando activamente en la naturaleza. El bicho (CVE-2022-34713) está vinculado a una herramienta de diagnóstico de soporte de Microsoft Windows y permite que un atacante remoto ejecute código en un sistema vulnerable.

La advertencia es parte de una actualización masiva del martes de parches de agosto que incluyó 121 fallas, 17 de las cuales fueron críticas y 101 con una calificación de Importante del Sistema de puntuación de vulnerabilidad común.

“El volumen de correcciones publicado este mes es notablemente más alto de lo que normalmente se espera en un lanzamiento de agosto. Es casi el triple del tamaño del lanzamiento de agosto del año pasado y es el segundo lanzamiento más grande de este año”, escribió Dustin Childs, gerente de Zero Day Initiative, en un Entrada de blog del martes.

La falla de Dogwalk tenía más de dos años

El error Dogwalk explotado activamente fue informado por primera vez a Microsoft en enero de 2020 por el investigador Imre Rad. Sin embargo, no fue hasta un investigadores separados comenzaron a rastrear la explotación de un defecto denominado Follina (CVE-2022-30190) que se redescubrió el error Dogwalk. Ese renovado interés en Dogwalk parece haber motivado a Microsoft a agregar el parche a la ronda de correcciones de este mes, según Tenable Patch. Informe de resumen del martes.

Microsoft afirma que CVE-2022-34713 es una "variante de" Dogwalk, pero diferente. Microsoft calificó la vulnerabilidad como importante y advierte que la explotación del error solo puede ser realizada por un adversario con acceso físico a una computadora vulnerable. Sin embargo, los investigadores de Zero Day Initiative describen cómo podría ocurrir un ataque remoto.

“Hay un elemento de ingeniería social en esto, ya que un actor de amenazas necesitaría convencer a un usuario para que haga clic en un enlace o abra un documento”, escribió Childs.

Microsoft describe un posible ataque como de bajo valor de complejidad, lo que significa que puede explotarse fácilmente y no requiere privilegios avanzados del sistema para ejecutarse.

“Este error también permite la ejecución de código cuando se llama a MSDT usando el protocolo URL desde una aplicación de llamada, generalmente Microsoft Word”, escribió Childs. “No está claro si esta vulnerabilidad es el resultado de un parche fallido o algo nuevo”, agregó.

17 fallas críticas

La más grave de las vulnerabilidades parcheadas el martes incluye un trío de vulnerabilidades de elevación de privilegios que abren instancias de Microsoft Exchange Server para atacar. Microsoft ha lanzado un página de alerta separada para este defecto para ayudar a mitigar los defectos.

“Las tres vulnerabilidades requieren autenticación e interacción del usuario para explotar: un atacante necesitaría atraer a un objetivo para que visite un servidor de Exchange especialmente diseñado, probablemente a través de phishing”, escribió Tenable con respecto a los errores de Exchange Server.

De vuelta en el centro de atención de Patch Tuesday hay una falla crítica (CVE-2022-35804) en el cliente y servidor Server Message Block (SMB) de Microsoft que se ejecuta en sistemas Windows 11 usando Microsoft SMB 3.1.1 (SMBv3), según la compañía. Microsoft clasificó el error como "Explotación más probable" y asignó una calificación de gravedad de 8.8 a la falla.

La falla solo afecta a Windows 11, que Zero Day Initiative dijo, "implica que alguna nueva funcionalidad introdujo esta vulnerabilidad". Los investigadores dijeron que la falla de SMB podría ser potencialmente compatible entre los sistemas Windows 11 afectados solo cuando el servidor SMB está habilitado.

“Deshabilitar la compresión SMBv3 es una solución para este error, pero aplicar la actualización es el mejor método para remediar la vulnerabilidad”, escribió Childs.

Calificado entre 8.5 y 9.8 en gravedad, Microsoft corrigió una falla de ejecución remota de código (CVE-2022-34715) en su sistema de archivos de red de Windows. Este es el cuarto mes consecutivo que Microsoft implementa un parche crítico de ejecución de código NFS. Curiosamente, Microsoft describe la falla como importante, mientras que los investigadores advierten que el error es crítico y debería ser un parche prioritario.

“Para explotar esto, un atacante remoto no autenticado necesitaría realizar una llamada especialmente diseñada a un servidor NFS afectado. Esto proporcionaría al actor de amenazas ejecución de código con privilegios elevados. Microsoft enumera esto como Gravedad importante, pero si usa NFS, lo trataría como Crítico. Definitivamente pruebe e implemente esta solución rápidamente”, aconseja Zero Day Initiative.

En noticias relacionadas, Adobe parcheó 25 CVE el martes abordar errores en Adobe Acrobat y Reader, Commerce, Illustrator, FrameMaker y Adobe Premier Elements.