Microsoft eliminó 74 vulnerabilidades de seguridad con su actualización del martes de parches de mayo de 2022, incluido un error de día cero calificado como importante que se está explotando activamente en la naturaleza y varios que probablemente estén ampliamente presentes en todas las empresas.

También corrigió siete fallas críticas, otros 65 errores calificados como importantes y un problema de baja gravedad. Las correcciones abarcan toda la gama de la cartera del gigante de la informática, incluidos: Windows y componentes de Windows, .NET y Visual Studio, Microsoft Edge (basado en Chromium), Microsoft Exchange Server, Office y componentes de Office, Windows Hyper-V, métodos de autenticación de Windows, BitLocker, Volumen compartido de clúster de Windows (CSV), Cliente de escritorio remoto, Sistema de archivos de red de Windows, NTFS y Protocolo de tunelización punto a punto de Windows.

3 días cero, 1 explotado activamente
El error explotado activamente (CVE-2022-26925) es una vulnerabilidad de suplantación de LSA de Windows que califica 8.1 de 10 en la escala de gravedad de vulnerabilidad CVSS; sin embargo, Microsoft señala en su aviso que debe aumentarse a crítico (CVSS 9.8) si se usa en Windows NT LAN Manager (NTLM ) ataques de relevo.

“[A]n atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante usando NTLM”, advierte Microsoft en su aviso, una situación preocupante considerando que los controladores de dominio brindan acceso de alto nivel a los privilegios.

Ahora en desuso, NTLM utiliza un protocolo de autenticación débil que puede revelar fácilmente las credenciales y las claves de sesión. En un ataque de retransmisión, los malos actores pueden capturar una autenticación y retransmitirla a otro servidor, que luego pueden usar para autenticarse en el servidor remoto con los privilegios del usuario comprometido.

Dicho esto, el error es más difícil de explotar que la mayoría, explica Dustin Childs, investigador de Trend Micro Zero Day Initiative (ZDI) en un blog del martes. “El actor de la amenaza tendría que estar en la ruta de red lógica entre el objetivo y el recurso solicitado (por ejemplo, hombre en el medio), pero dado que esto figura como un ataque activo, alguien debe haber descubierto cómo hacerlo. eso pasa."

Tyler Reguly, gerente de I + D de seguridad en Tripwire, le dice a Dark Reading que el error podría estar relacionado con una amenaza conocida como PetitPotam, que surgió en julio para permitir a los atacantes obligar a los sistemas remotos de Windows a revelar hashes de contraseñas fáciles de descifrar.

“Según los enlaces proporcionados por Microsoft, esto parece estar relacionado con el anterior Parche PetitPotam”, señala, y agrega que los investigadores estarán adivinando sobre eso. “Este es un excelente ejemplo de cómo los resúmenes ejecutivos detallados que explican lo que está sucediendo fueron útiles en el pasado. Sería genial si Microsoft pudiera volver a proporcionarlos de manera regular”, dice.

Microsoft también corrigió otros dos días cero, incluido un error crítico (CVE-2022-29972, CVSS no disponible) en Magnitude Simba Amazon Redshift ODBC Driver de Insight Software: "un conector de datos ODBC de terceros que se usa para conectarse a Amazon Redshift, en Integration Runtime (IR) en Azure Synapse Pipelines y Azure Data Factory", como Childs de ZDI explica.

Agrega: “Esta actualización es lo suficientemente complicada para Microsoft al blog sobre el error y cómo afecta a múltiples servicios de Microsoft”.

El último día cero (CVE-2022-22713, CVSS 5.6) es un error importante en Windows Hyper-V que podría permitir la denegación de servicio (DoS).

Luces destacadas: Errores críticos de seguridad de Microsoft para parchear ahora
En cuanto a otros parches para que los administradores prioricen este mes, algunos de los problemas calificados como críticos tienen un gran alcance en la infraestructura organizacional y podrían afectar a millones de empresas, advierten los investigadores.

“La gran noticia son las vulnerabilidades críticas que deben resaltarse para una acción inmediata”, le dice a Dark Reading Chris Hass, director de seguridad de Automox. “Este mes presenta vulnerabilidades en una serie de aplicaciones que prevalecen en la mayoría de las organizaciones empresariales, incluidos NSF, Remote Desktop Client y Active Directory”.

Por ejemplo, el error crítico que afecta al sistema de archivos de red de Windows, o NFS (CVE-2022-26937, CVSS 9.8) podría permitir la ejecución remota de código (RCE) no autenticado en el contexto del servicio NFS altamente privilegiado, según el aviso de Microsoft. Para empezar, su ubicuidad es similar a Log4j: "está presente en todas las versiones de Windows Server desde 2008 en adelante", dice Hass, "lo que pone en riesgo a la mayoría de las organizaciones si no se toman medidas rápidamente".

Además, "estos tipos de vulnerabilidades atraerán potencialmente a los operadores de ransomware, ya que podrían conducir al tipo de exposición de datos críticos, a menudo como parte de un intento de rescate", Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs, le dice a Dark Reading.

En cuanto a quién debería priorizar especialmente el parche, “NFS no está activado de forma predeterminada, pero prevalece en entornos donde los sistemas Windows se mezclan con otros sistemas operativos, como Linux o Unix. Si esto describe su entorno, definitivamente debe probar e implementar este parche rápidamente”, advierte Childs.

En cuanto a otros errores críticos a considerar, Breen señala CVE-2022-22017 (CVSS 8.8), un problema de RCE en el también ubicuo Cliente de escritorio remoto (RDP).

“Con más trabajadores remotos que nunca, las empresas deben poner en el radar cualquier cosa que afecte a RDP, especialmente dada su popularidad entre los actores de ransomware y los corredores de acceso”, advierte.

El error de Active Directory (CVE-2022-26923, CVSS 8.8) se encuentra en Servicios de dominio y podría permitir la elevación de privilegios gracias a un problema con la emisión de certificados. ZDI, que informó el error, dice que un atacante puede obtener acceso a un certificado para autenticarse en un DC con un alto nivel de privilegios, lo que permite que cualquier usuario autenticado en el dominio se convierta en administrador del dominio si se están ejecutando los servicios de certificados de Active Directory.

“Este es un despliegue muy común”, dice Childs. “Teniendo en cuenta la gravedad de este error y la relativa facilidad de explotación, no me sorprendería ver ataques activos utilizando esta técnica más temprano que tarde”.

De menor preocupación, dice Breen, son un grupo de 10 errores RCE en LDAP (los más graves, CVE-2022-22012, tiene una puntuación CVSS de 9.8). Estos “parecen particularmente amenazantes; sin embargo, han sido marcados por Microsoft como 'explotación menos probable' ya que requieren una configuración predeterminada que es poco probable que exista en la mayoría de los entornos”, señala. "No quiere decir que no haya necesidad de parchearlos, sino un recordatorio de que el contexto es importante al priorizar los parches".

Lo peor del resto
Vale la pena señalar aquí un puñado de otras vulnerabilidades que también llamaron la atención de los investigadores, comenzando con Windows Print Spooler, que tiene presentó durante mucho tiempo una diana atractiva para los ciberatacantes.

“Hubo varias vulnerabilidades de Windows Print Spooler parcheadas este mes, incluidas dos fallas de divulgación de información (CVE-2022-29114, CVE-2022-29140) y dos defectos de elevación de privilegios (CVE-2022-29104, CVE-2022-29132)”, Satnam Narang, ingeniero de investigación del personal de Tenable, le dice a Dark Reading. “Todas las fallas se califican como importantes, y dos de las tres se consideran más probables de ser explotadas. Windows Print Spooler continúa siendo un objetivo valioso para los atacantes desde que se reveló PrintNightmare hace casi un año. Las fallas de elevación de privilegios en particular deben priorizarse cuidadosamente, ya que hemos visto que grupos de ransomware como Conti los favorecen como parte de su libro de jugadas”.

Breen también destacó otros dos errores calificados como importantes como prioridades de parcheo:

• CVE-2022-29108, una falla ejecutable remotamente en Sharepoint que probablemente podría ser abusada por un atacante que busca moverse lateralmente a través de una organización. “Al requerir acceso autenticado para explotar, podría ser utilizado por un actor de amenazas para robar información confidencial o inyectar documentos con código malicioso o macros que podrían ser parte de una cadena de ataque más amplia”, advierte Breen.
• Un error en Fábrica de datos de Azure (sin CVE asignado) se puede explotar de forma remota y puede exponer los datos confidenciales de una empresa, según Breen.

El CTO y cofundador de Virsec, Satya Gupta, dice que, en general, es importante tener en cuenta el contexto más amplio de las tendencias de parches de Microsoft para los defensores. En concreto, en el último año, más de un tercio de los parches (1,330, o el 36%) son para problemas de RCE.

“Esto, por supuesto, representa una gran oportunidad para que los actores maliciosos comprometan a casi cualquier cliente”, dice. “En total, varias de las vulnerabilidades de May representan un nivel de exposición de Log4j, particularmente si considera lo que se necesitaría para parchear millones de servidores”.