Vulnerabilidad RCE afecta a Microsoft Windows

.

La vulnerabilidad (CVE-2021-34535) de ejecución remota de código afecta a clientes de escritorio remoto con una calificación CVSSv3 de 8.8 siendo catalogada con una severidad alta, fue parcheada por Windows en agosto del 2021.

Microsoft no ha indicado detalles técnicos de la vulnerabilidad. El ataque puede ser realizado a través de la red, no requiere ninguna forma de autenticación.

La ejecución remota de código es un ciberataque mediante el cual un atacante puede ejecutar comandos de forma remota en el dispositivo informático de otra persona.

Existen dos escenarios que pueden causar que un atacante aproveche esta vulnerabilidad:

  1. La víctima se conecta a un servidor malicioso de escritorio remoto y se ejecuta esta vulnerabilidad para acceder al equipo del objetivo.
  2. El segundo escenario, el más interesante, es un escape con un cliente Hyper-V. A menos que el usuario deshabilite explícitamente el modo «Enhanced Session Mode», Hyper-V utiliza las .dll del cliente de escritorio remoto al acceder a una máquina virtual. Mientras lo hace, se habilitan funciones como la impresión o el uso compartido del portapapeles para mejorar la experiencia del usuario. En caso de que una máquina virtual ejecute un software malicioso, un atacante puede aprovechar la vulnerabilidad y obtener el control del equipo de la victima, ya que generalmente los usuarios ejecutan software que no es de confianza dentro de estos ambientes para mayor seguridad y aislamiento pero que en este caso podría tener un serio impacto.

Para prevenir estos tipos de vulnerabilidades asociado a buffer overflow se recomienda:

  • Validar todos los tamaños de búfer y datos controlados por el usuario.
  • Comprobar casos de desbordamiento de enteros de borde.
  • Verificar la longitud de un búfer antes de copiar cualquier dato.

Las vulnerabilidades de acceso a la memoria son más comunes cuando se usan punteros sin procesar directamente, por lo que deben evitarse siempre que sea posible hacerlo.

En caso de acceder a una máquina virtual que no es de confianza en Hyper-V o ejecutar un software desconocido en su equipo virtual, se aconseja desactivar el modo «Enhanced Session Mode» para reducir la superficie de ataque.

Finalmente, se recomienda mantener su computadora actualizada e instalar los últimos parches de Windows Update.

Más información: