14 jul. 2021

Actualizaciones críticas de Seguridad de julio

Ayer martes Microsoft lanzó sus actualizaciones para parchear al menos 116 vulnerabilidades de seguridad en sus sistemas operativos Windows y software relacionado. Al menos cuatro de las vulnerabilidades abordadas hoy están bajo ataque activo, según Microsoft.

Trece de las vulnerabilidades tienen calificación "crítica", lo que significa que pueden ser explotados por malware o atacantes remotos para tomar el control de un sistema vulnerable sin la ayuda de los usuarios. Otros 103 de los agujeros de seguridad este mes fueron marcados como "importantes", que Microsoft asigna a vulnerabilidades "cuya explotación podría resultar en un compromiso de la confidencialidad, integridad o disponibilidad de los datos del usuario, o de la integridad o disponibilidad de los recursos de procesamiento."

Entre los errores críticos se encuentra, por supuesto, la solución oficial para la falla de la cola de impresión PrintNightmare en la mayoría de las versiones de Windows (CVE-2021-34527) que llevó a Microsoft a lanzar un parche incompleto hace una semana, en respuesta al código de explotación disponible accidentalmente en línea. Ese parche parece haber causado varios problemas a los usuarios de Windows.

Los Controladores de Dominio (Active Directory) están particularmente expuestos, ya que un atacante, que ha comprometido previamente la estación de trabajo de un usuario, puede finalmente obtener los derechos y privilegios en el nivel de "administrador de dominio".

Además de instalar las actualizaciones, para proteger el sistema, se debe confirmar que las siguientes configuraciones de registro están establecidas en 0 (cero) o no están definidas.

HKEY_LOCAL_MACHINE\SOFTWARE\Políticas\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (ajuste predeterminado)
UpdatePromptSettings = 0 (DWORD) o no definido (configuración predeterminada)

Nota: Estas claves de registro no existen de forma predeterminada y, por lo tanto, ya están en la configuración segura por defecto.

CUIDADO: Tener NoWarningNoElevationOnInstall = 1 hace que el sistema sea vulnerable de diseño.

Esperamos que la solución actualizada resuelva los problemas anteriores.

Explotación activa, parchear a la brevedad

Las principales fallas de seguridad que se están explotan activamente son las siguientes:
  • CVE-2021-34527 (CVSS score: 8.8) - Windows Print Spooler Remote Code Execution Vulnerability (publicly disclosed as "PrintNightmare")
  • CVE-2021-31979 (CVSS score: 7.8) - Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-33771 (CVSS score: 7.8) - Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability
Las otras cinco vulnerabilidades Zero-Days reveladas públicamente, pero no explotadas, son:
  • CVE-2021-34473 (CVSS score: 9.1) - Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-34523 (CVSS score: 9.0) - Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-33781 (CVSS score: 8.1) - Active Directory Security Feature Bypass Vulnerability
  • CVE-2021-33779 (CVSS score: 8.1) - Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-34492 (CVSS score: 8.1) - Windows Certificate Spoofing Vulnerability

CVE-2021-34448 es una vulnerabilidad crítica de ejecución remota de código en el motor de secuencias de comandos integrado en todas las versiones compatibles de Windows, incluidas las versiones de servidor. Microsoft dice que esta falla está siendo explotada activamente.

Tanto CVE-2021-33771 como CVE-2021-31979 son fallas de elevación de privilegios en el kernel de Windows. Ambos están experimentando una explotación activa, según Microsoft.

Chad McNaughton, gerente de la comunidad técnica de Automox, llamó la atención sobre CVE-2021-34458, otra falla de ejecución remota de código en el kernel del sistema operativo. McNaughton dijo que es probable que se aproveche esta vulnerabilidad porque es una "vulnerabilidad de baja complejidad que requiere pocos privilegios y ninguna interacción del usuario".

Otra vulnerabilidad crítica preocupante es CVE-2021-34494, en DNS Server de Windows que obtuvo una puntuación CVSS (gravedad) de 9,8 sobre 10. "Tanto las instalaciones completas como Core se ven afectadas desde Windows Server 2008, incluidas hasta las versiones 2004 y 20H2", dijo Aleks Haugom, también de Automox.

Microsoft también corrigió seis vulnerabilidades en Exchange Server, el cual ha estado asediado durante todo el año por los atacantes. Satnam Narang, ingeniero de investigación de personal de Tenable, señaló que si bien Microsoft dice que dos de los errores de Exchange abordados este mes (CVE-2021-34473 y CVE-2021-34523) se abordaron como parte de sus actualizaciones de seguridad de abril de 2021, ambos CVE fueron de alguna manera omitido en ese lanzamiento y agregados ahora. Es decir, si ya aplicó la gran cantidad de actualizaciones de Exchange que Microsoft puso a disposición en abril, sus sistemas de Exchange tienen protección contra estos defectos.

Parches de software de otros proveedores

Adobe también emitió hoy actualizaciones de seguridad para Adobe Acrobat y Reader, así como para Dimension, Illustrator, Framemaker y Adobe Bridge.

Junto con Microsoft, varios otros proveedores también han lanzado parches para abordar varias vulnerabilidades, que incluyen: 

Chrome y Firefox también han enviado recientemente importantes actualizaciones de seguridad.

Fuente: Krebs on Security

Suscríbete a nuestro Boletín

1 comentario:

  1. Hace 20 años que venimos con estas pelotudeces... pensar que gran parte del mundo está en manos de esta mafia...

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!