13 abr 2022

Vulnerabilidad crítica "wormeable" en RPC de Windows (recuerdan a Conficker, Stuxnet y Wannacry)

Las actualizaciones de este martes de abril de Microsoft abordaron un total de 128 vulnerabilidades de seguridad que abarcan todos sus productos, incluidos Windows, Defender, Office, Exchange Server, Visual Studio y Print Spooler, entre otros.

10 de los 128 errores corregidos se calificaron como Críticos, 115 se calificaron como Importantes y tres se calificaron como Moderados, con una de las fallas enumeradas como conocidas públicamente y otra bajo ataque activo en el momento del lanzamiento. La tabla de gravedad es la siguiente:

Las actualizaciones se suman a otras 26 fallas resueltas por Microsoft en su navegador Edge basado en Chromium desde principios de mes.

La falla explotada activamente (CVE-2022-24521, puntaje CVSS: 7.8) se relaciona con una vulnerabilidad de elevación de privilegios en el Common Log File System Driver de Windows (CLFS). A los investigadores de la Agencia de Seguridad Nacional (NSA) y de CrowdStrike, Adam Podlosky y Amir Bazine, se les atribuye haber informado sobre la falla.

La segunda falla Zero-Day conocida públicamente (CVE-2022-26904, puntaje CVSS: 7.0) también se refiere a un caso de Escalamiento de Privilegios (EoP) en el Servicio de perfil de usuario de Windows, cuya explotación exitosa "requiere que un atacante genere una condición de carrera". La vulnerabilidad CVE-2022-26904 es una falla de EoP que afecta el servicio de perfil de usuario de Windows, es de conocimiento público y ya hay un módulo de Metasploit.

CVE-2022-26809 - Vulnerabilidad crítica wormeable

Una de las vulnerabilidades críticas a tener en cuenta incluyen una serie de fallas de ejecución remota de código en RPC Runtime Library (CVE-2022-26809, puntaje CVSS: 9.8) en los puertos TCP/135/139 y SMB/445 y que es wormeable, lo que recuerda a casos como Conficker y Stuxnet en 2008 y Wannacry en 2017.

La vulnerabilidad fue informada a Microsoft por CyberKunLun (aka KunlunLab). CyberKunLun está afiliado a Team Pangu, uno de los principales grupos de investigación de seguridad de China y descubridor de muchas vulnerabilidades pasadas. CyberKunLun informó 36 vulnerabilidades diferentes (5 críticos) corregidas por Microsoft en abril. CyberKunLun mantiene una página con reseñas breves y código PoC para las vulnerabilidades que descubrieron en el pasado. Aún no se ha añadido nada sobre CVE-2022-26809.

La vulnerabilidad (en el archivo rpcrt4.dll) podría permitir que un atacante remoto ejecutara código con altos privilegios en el sistema afectado. Dado que no se requiere la interacción del usuario, estos factores se combinan para que sea compatible con gusanos, al menos entre máquinas donde se puede alcanzar RPC. Sin embargo, el puerto estático que se usa aquí (puerto TCP 135) generalmente está bloqueado en el perímetro de la red. Aún así, un atacante podría usar este error para el movimiento lateral. La vulnerabilidad es tan grave que Microsoft publicó actualizaciones para sistema operativos fuera de soporte como Windows 7 y Windows Server 2008.

  • rpcrt4.dll v10.0.22000.434 (unpatched, hasta marzo)
  • rpcrt4.dll v10.0.22000.613 (patched, desde el 14 de abril)

Cualquier máquina con Windows donde el puerto 445 esté expuesto y sin parchear es vulnerable. Según Shodan, más de 700.000 máquinas con Windows exponen este puerto a Internet y, según Microsoft, los servidores que escuchan en este puerto TCP son potencialmente vulnerables. Recientemente Akamai publicó una guía sobre filtros RPC, una herramienta para limitar y bloquear el tráfico RPC en y entre máquinas Windows. Aunque aún se ha determinado si los filtros RPC son una solución aplicable para las vulnerabilidades discutidas, recomendamos leerlo para comprender mejor el mecanismo.

Los consejos de remediación para bloquear puertos de servicio son un enfoque útil y el bloqueo de 135/TCP y 445/TCP en la capa de red son pautas de mejores prácticas pero, la única solución efectiva para esta vulnerabilidad en particular es aplicar el parche y con urgencia. Si bien todavía no hay exploit público, definitivamente se debe probar e implementar el parche rápidamente.

Desde Microsoft recomiendan proteger el tráfico SMB de acuerdo a esta guía.

Otras vulnerabilidades graves

Otros errores a tener en cuenta afectan al sistema de archivos de red de Windows (CVE-2022-24491 y CVE-2022-24497, puntajes CVSS: 9.8). Estos dos errores son "casi gusaneable" que también deberían solucionarse muy rápido porque son RCE en el sistema de archivos de red de Windows (NFS). Además, también se debe prestar atención a los parches para los servicios de servidor de Windows (CVE-2022-24541), Windows SMB (CVE-2022-24500) y Microsoft Dynamics 365 (CVE-2022-23259).

Microsoft también corrigió hasta 18 fallas en el servidor DNS de Windows, una falla en la divulgación de información y 17 fallas en la ejecución remota de código, todas las cuales fueron reportadas por el investigador de seguridad Yuki Chen. También se corrigieron 15 fallas de escalamiento de privilegios en el componente Windows Print Spooler.

Los parches llegan una semana después de que el gigante tecnológico anunciara planes para poner a disposición una función llamada AutoPatch en julio de 2022 que permite a las empresas acelerar la aplicación de correcciones de seguridad de manera oportuna al tiempo que enfatiza la escalabilidad y la estabilidad.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad para corregir varias vulnerabilidades, contando:

Fuente: THN | ZDI

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!