Para el martes de parches de abril, el gigante informático abordó un ataque activo de día cero y varias vulnerabilidades de seguridad críticas, incluidas tres que permiten vulnerabilidades de autopropagación.
Microsoft ha lanzado parches para 128 vulnerabilidades de seguridad para su actualización mensual programada de abril de 2022 , diez de ellas calificadas como críticas (incluidos tres errores de ejecución de código que se pueden infectar y que no requieren la interacción del usuario para explotar).
También hay dos días cero de clasificación importante que permiten la escalada de privilegios, incluido uno que figura como explotación activa.
Los errores en la actualización se encuentran en toda la cartera, incluidos Microsoft Windows y Windows Components, Microsoft Defender y Defender para Endpoint, Microsoft Dynamics, Microsoft Edge (basado en Chromium), Exchange Server, Office y Office Components, SharePoint Server, Windows Hyper -V, servidor DNS, Skype Empresarial, .NET y Visual Studio, Windows App Store y componentes de cola de impresión de Windows.
"Este gran volumen de parches no se ha visto desde el otoño de 2020. Sin embargo, este nivel es similar al que vimos en el primer trimestre del año pasado", dijo Dustin Childs, investigador de Zero Day Initiative de Trend Micro, en un blog desglosando las correcciones.
Parches de día cero
La vulnerabilidad que se ha explotado antes de la aplicación de parches permite la escalada de privilegios y se rastrea como CVE-2022-24521 . Califica 7.8 de 10 en la escala de gravedad de vulnerabilidad CVSS. Aparece como una "vulnerabilidad de ejecución del controlador del sistema de archivo de registro común de Windows" y la Agencia de Seguridad Nacional informó a Microsoft.
“No se indica cuán ampliamente se está utilizando el exploit en la naturaleza, pero es probable que todavía esté dirigido a este punto y no esté ampliamente disponible”, señaló Childs. “Vayan a parchear sus sistemas antes de que esa situación cambie”.
Los investigadores notaron que los atacantes probablemente lo estén emparejando con un error de ejecución de código separado en sus campañas. Por esa razón, Kevin Breen, director de investigación de amenazas cibernéticas de Immersive Labs, coloca el error explotado activamente en la parte superior de la lista de prioridades para parchear.
“Siendo el tipo de vulnerabilidad para la escalada de privilegios, esto indicaría que un actor de amenazas lo está utilizando actualmente para ayudar al movimiento lateral a capitalizar un punto de apoyo preexistente”, explicó.
El segundo día cero se encuentra en el Servicio de perfil de usuario de Windows y se rastrea como CVE-2022-26904 .
También permite la escalada de privilegios y califica un puntaje CVSS de 7. Aunque está catalogado como una explotación más probable, tiene una alta complejidad de ataque, señaló Microsoft en su aviso, porque "la explotación exitosa de esta vulnerabilidad requiere que un atacante gane una carrera". condición."
Aun así, los investigadores de Tripwire notaron que el código de explotación está disponible para el error, incluso en el marco Metasploit .
Asuntos críticos para abril
De los defectos críticos, todos los cuales permiten la ejecución remota de código (RCE), los investigadores señalaron un error que podría permitir la autopropagación de exploits ( CVE-2022-26809 ) como el más preocupante.
Existe en la Biblioteca de tiempo de ejecución de llamada a procedimiento remoto (RPC) y tiene una calificación de 9,8 sobre 10 en la escala CVSS, y la explotación se señala como más probable. Si se explota, un atacante remoto podría ejecutar código con altos privilegios.
Danny Kim, arquitecto principal de Virsec, señaló que la vulnerabilidad se encuentra específicamente en la funcionalidad Server Message Block (SMB) de Microsoft, que se usa principalmente para compartir archivos y comunicación entre procesos, incluidas las llamadas a procedimientos remotos. RPC es un mecanismo de comunicación que permite que un programa solicite un servicio o funcionalidad de otro programa ubicado en la red (internet y/o intranet). Los RPC se pueden utilizar en tecnologías como la réplica de almacenamiento o la gestión de volúmenes compartidos.
“Esta vulnerabilidad es otro ejemplo de un atacante que aprovecha la funcionalidad legítima para obtener ganancias maliciosas”, dijo por correo electrónico. “Usando la vulnerabilidad, un atacante puede crear un RPC especialmente diseñado para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC”.
El error podría usarse para crear amenazas especialmente virulentas, según Childs.
“Dado que no se requiere la interacción del usuario, estos factores se combinan para que sea compatible con gusanos, al menos entre máquinas donde se puede alcanzar RPC”, señaló Childs.
Microsoft recomienda configurar reglas de firewall para ayudar a evitar que se aproveche esta vulnerabilidad; el puerto estático utilizado (puerto TCP 135) se puede bloquear en el perímetro de la red.
“Aún así, un atacante podría usar este error para el movimiento lateral”, advirtió Childs. "Definitivamente pruebe e implemente este rápidamente".
Los siguientes son CVE-2022-24491 / 24497 , dos errores RCE que afectan el sistema de archivos de red de Windows (NFS). Ambos también tienen puntajes CVSS de 9.8, y ambos se enumeran como más probables de explotación. También permiten el potencial de exploits de gusanos, advirtió Childs.
“En los sistemas donde la función NFS está habilitada, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario”, explicó Childs. “Nuevamente, eso se suma a un error de gusanos, al menos entre servidores NFS. Al igual que RPC, esto a menudo se bloquea en el perímetro de la red”.
Breen de Immersive agregó: “Estas podrían ser el tipo de vulnerabilidades que atraen a los operadores de ransomware, ya que brindan el potencial para exponer datos críticos. También es importante que los equipos de seguridad tengan en cuenta que el rol de NFS no es una configuración predeterminada para los dispositivos de Windows”.
Las vulnerabilidades críticas restantes son las siguientes:
- CVE-2022-23259 : Microsoft Dynamics 365 (local) (CVSS 8.8)
- CVE-2022-22008 : Windows Hyper-V (CVSS 7.7)
- CVE-2022-23257 : Windows Hyper-V (CVSS 8.6)
- CVE-2022-24537 : Windows Hyper-V (CVSS 7.7)
- CVE-2022-26919 : Windows LDAP (CVSS 8.1)
- CVE-2022-24541 : Servidor Windows (CVSS 8.8)
- CVE-2022-24500 : SMB de Windows (CVSS 8.8)
Otros errores de nota
También vale la pena mencionar: De la enorme cantidad de 18 errores encontrados en el servidor de nombres de dominio (DNS) de Windows, uno ( CVE-2022-26815 ) permite RCE y está catalogado como importante, con un puntaje CVSS de 7.2.
Microsoft señaló que si bien la complejidad del ataque es baja, “el atacante o el usuario objetivo necesitaría privilegios elevados específicos [para una explotación exitosa]. Como es la mejor práctica, se deben realizar validaciones y auditorías periódicas de los grupos administrativos”.
Mientras tanto, “hay un par de mitigaciones importantes para señalar aquí”, señaló Childs. “La primera es que las actualizaciones dinámicas deben estar habilitadas para que un servidor se vea afectado por este error. El CVSS también enumera algún nivel de privilegios para explotar. Aún así, cualquier posibilidad de que un atacante obtenga RCE en un servidor DNS es demasiada, así que parchee sus servidores DNS”.
Fuente: https://threatpost.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios