Microsoft ha lanzado parches para 128 vulnerabilidades de seguridad para su actualización mensual programada de abril de 2022 , diez de ellas calificadas como críticas (incluidos tres errores de ejecución de código que se pueden infectar y que no requieren la interacción del usuario para explotar).
Ejecución de código remoto de Microsoft RPC (CVE-2022-26809)
La vulnerabilidad se encuentra específicamente en la funcionalidad Server Message Block (SMB) de Microsoft, que se usa principalmente para compartir archivos y comunicación entre procesos, incluidas las llamadas a procedimientos remotos. Puntuación CVSS: 9.8/10.
RPC es un mecanismo de comunicación que permite que un programa solicite un servicio o funcionalidad de otro programa ubicado en la red (internet y/o intranet).
Productos afectados:
- Todas la versiones con sistema operativo Windows.
Recomendaciones:
- Actualizar Windows a los parches de seguridad de abril de 2022
Mitigación
La mitigación se refiere a una configuración, existente en un estado predeterminado, que podría reducir la gravedad de la explotación de una vulnerabilidad. Los siguientes factores atenuantes pueden ser útiles en su situación:
1. Bloquee el puerto TCP 445 en el firewall perimetral de la empresa
El puerto TCP 445 se utiliza para iniciar una conexión con el componente afectado. El bloqueo de este puerto en el firewall del perímetro de la red ayudará a proteger los sistemas que están detrás de ese firewall de los intentos de aprovechar esta vulnerabilidad. Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa. Sin embargo, los sistemas aún podrían ser vulnerables a los ataques dentro del perímetro de su empresa.
2. Siga las pautas de Microsoft para proteger el tráfico SMB
https://docs.microsoft.com/windows-server/storage/file-server/smb-secure-traffic
Vulnerabilidad de elevación de privilegios del controlador del sistema de archivo de registro común de Windows (CVE-2022-24521).
Es una vulnerabilidad de «escalamiento de privilegios» en el controlador del sistema de archivos de registro común de Windows.
El error puede ser aprovechado por software no autorizado o usuarios no autorizados para obtener privilegios administrativos en un sistema conectado. Puntuación CVSS: 7.8/10.
Vulnerabilidad de elevación de privilegios del servicio de perfil de usuario de Windows (CVE-2022-26904).
Es una vulnerabilidad de «escalamiento de privilegios» una falla de EoP (Exchange Online Protection) que afecta el Servicio de perfil de usuario de Windows. Puntuación CVSS: 7/10.
Exchange Online Protection (EOP) es el servicio de filtrado basado en la nube que protege a su organización contra el spam, el malware y otras amenazas de correo electrónico.
Productos afectados:
- .NET Framework,
- Active Directory Domain Services,
- Azure SDK,
- Azure Site Recovery,
- LDAP – Lightweight Directory Access Protocol,
- Microsoft Bluetooth Driver,
- Microsoft Dynamics,
- Microsoft Edge (basado en Chromium),
- Microsoft Graphics Component,
- Microsoft Local Security Authority Server (lsasrv),
- Microsoft Office Excel,
- Microsoft Office SharePoint,
- Microsoft Windows ALPC,
- Microsoft Windows Codecs Library,
- Microsoft Windows Media Foundation,
- Power BI,
- Role: DNS Server,
- Role: Windows Hyper-V,
- Skype para Business,
- Visual Studio,
- Visual Studio Code,
- Windows Ancillary Function Driver para WinSock,
- Windows App Store,
- Windows AppX Package Manager,
- Windows Cluster Client Failover,
- Windows Cluster Shared Volume (CSV),
- Windows Common Log File System Driver,
- Windows Defender,
- Windows DWM Core Library,
- Windows Endpoint Configuration Manager,
- Windows Fax Compose Form,
- Windows Feedback Hub,
- Windows File Explorer,
- Windows File Server,
- Windows Installer,
- Windows iSCSI Target Service,
- Windows Kerberos,
- Windows Kernel,
- Windows Local Security Authority Subsystem Service,
- Windows Media,
- Windows Network File System,
- Windows PowerShell,
- Windows Print Spooler Components,
- Windows RDP,
- Windows Remote Procedure Call Runtime,
- Windows schannel,
- Windows SMB,
- Windows Telephony Server,
- Windows Upgrade Assistant,
- Windows User Profile Service,
- Windows Win32K,
- Windows Work Folder Service
- YARP reverse proxy.
Recomendaciones:
- Actualizar Windows a los parches de seguridad de abril de 2022
Nota:
- Las versiones menores a Windows 8 para usuarios finales y Windows Server 2008 R2 para servidores aunque ya no cuentan con soporte por parte de Microsoft, si se lanzó actualizaciones de seguridad
Referencias
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26904
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24521
- https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr
- https://blog.segu-info.com.ar/2022/04/vulnerabilidad-critica-es-wormeable-en.html