75 vulnerabilidades corregidas por Microsoft

Con los parches de mayo de 2022 de Microsoft llegaron correcciones 75 fallas totales, 8 críticas que permiten ejecución remota de código, 3 vulnerabilidades Zero-Day, con una siendo explotada activamente.

El número de errores en cada categoría de vulnerabilidad se enumera a continuación:

• 21 Vulnerabilidades de elevación de privilegios
• 4 Vulnerabilidades de omisión de funciones de seguridad
• 26 Vulnerabilidades de ejecución remota de código
• 17 Vulnerabilidades de divulgación de información
• 6 Vulnerabilidades de denegación de servicio
• 1 vulnerabilidad de suplantación de identidad

Para obtener información sobre las actualizaciones de Windows que no son de seguridad, se puede leer sobre las actualizaciones de Windows 10 KB5013942 y KB5013945 de hoy y la actualización de Windows 11 KB5013943.

Zero-Day

De las tres vulnerabilidades Zero-Day, una está siendo explotada activamente y las otras dos han sido divulgadas públicamente.

La vulnerabilidad explotada activamente es para un nuevo ataque de retransmisión NTLM que usa una falla LSARPC identificada como CVE-2022-26925, y permiten la suplantación de LSA de Windows. "Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante mediante NTLM. Esta actualización de seguridad detecta intentos de conexión anónimos en LSARPC y los rechaza", explica Microsoft en el aviso. 

Con este ataque, los actores de amenazas pueden interceptar solicitudes de autenticación legítimas y usarlas para obtener privilegios elevados, incluso hasta el punto de asumir la identidad de un controlador de dominio. Microsoft recomienda a los administradores que lean el aviso de retransmisión NTLM de PetitPotam para obtener información sobre cómo mitigar este tipo de ataques. 

Este CVE-2022-26925 es PetitPotam, una vulnerabilidad de LSA Spoofing y NTLM Relay publicada originalmente por @topotam77 en julio de 2021 y que fue solucionada de forma parcial por Microsoft con el CVE-2021-36942.

Aunque el escenario del ataque es complejo, los expertos advierten que no se debe minimizar el riesgo. Si bien la falla se considera importante y se le asignó una puntuación CVSSv3 de 8,1, si esta vulnerabilidad se encadena con otros ataques de NTLM Relay como PetitPotam, la puntuación CVSSv3 aumentaría a 9,8, elevando la gravedad de esta falla a crítica. Además de parchear, se recomienda consultar la KB5005413 para conocer las formas de mitigar los ataques de retransmisión NTLM contra los servicios de certificados de Active Directory.

Las dos vulnerabilidades públicas son una denegación de servicio en Hyper-V y una nueva vulnerabilidad de ejecución remota de código en Azure Synapse y Azure Data Factory.

• CVE-2022-22713: vulnerabilidad de denegación de servicio de Windows Hyper-V
• CVE-2022-29972: Insight Software: CVE-2022-29972 Magnitud Simba Amazon Redshift ODBC Driver

Ahora que Microsoft ha publicado parches para estas vulnerabilidades, los administradores deben esperar que los actores de amenazas analicen las actualizaciones de seguridad para ver qué ha cambiado. Luego, usando esta información, crearán sus propios exploits para usar en ataques.

Actualizaciones recientes de otras empresas

Otros proveedores que lanzaron actualizaciones en mayo de 2022 incluyen:

• Google lanzó las actualizaciones de seguridad de mayo de Android, así como actualizaciones para ChromOS y Chrome.
• Cisco lanzó actualizaciones de seguridad para numerosos productos este mes.
• F5 lanzó actualizaciones de seguridad de BIG-IP para corregir una vulnerabilidad crítica explotada activamente.

Fuente: Microsoft

Suscríbete a nuestro Boletín