Lectura oscura | Seguridad | Proteja el negocio



Microsoft emitió hoy parches para 117 CVE, cuatro de los cuales informa que están bajo ataque activo y seis de los cuales se conocen públicamente en el momento en que se lanzaron las correcciones.

Los productos y servicios afectados incluyen Microsoft Home windows, Exchange Server, Microsoft Business, Dynamics, SharePoint Server, Online Explorer, Bing, Visible Studio, OpenEnclave y Windows Storage Spaces Controller. Trece están clasificados como críticos, 103 son importantes y uno está clasificado como de gravedad moderada.

El martes de parches de este mes es más grande que los de los meses anteriores: mayo
y junio
trajo 55 y 50 parches, respectivamente, y recuerda a los lanzamientos más grandes que Microsoft tuvo a lo largo de 2020. El recuento mensual de parches del año pasado superó constantemente los 100 este año, han sido más pequeños.

El lanzamiento de julio no solo es más grande, sino que tiene varios CVE que merecen una mirada más de cerca. Uno de estos, CVE-2021-34527, es un parche fuera de banda lanzado el 1 de julio para abordar una vulnerabilidad de ejecución remota de código en la cola de impresión de Windows reparada. Apodado «PrintNightmare», el defecto es very similar, pero distinto, a otro mistake crítico (CVE-2021-1675) que Microsoft parcheó el 8 de junio.

Un atacante exitoso podría aprovechar PrintNightmare para obtener acceso a nivel de sistema en sistemas vulnerables, que incluyen controladores de dominio centrales y servidores de administración de Active Listing. Los atacantes pueden ejecutar código malicioso descargar malware crear nuevas cuentas de usuario o ver, cambiar y eliminar datos. Microsoft ha proporcionado soluciones para la vulnerabilidad, aconsejando a las organizaciones que deshabiliten el servicio de cola de impresión o deshabiliten la impresión remota entrante mediante la directiva de grupo.

PrintNightmare ya ha generado una gran cantidad de atención: la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Centro de Coordinación CERT (Cert CC) y otros han recomendado acciones urgentes en su contra.

El 13 de julio, el Departamento de Seguridad Nacional emitió Directiva de emergencia 21-04 obligando a todas las agencias de la Rama Ejecutiva Civil Federal a detener y deshabilitar el servicio de cola de impresión en todos los controladores de dominio de Microsoft Lively Listing antes de las 11:59 p.m. el miércoles 14 de julio a las 11:59 p.m. el martes 20 de julio, deben aplicar las actualizaciones acumulativas de julio de 2021 a todos los servidores y estaciones de trabajo de Windows. Los funcionarios también brindan orientación adicional para los hosts que ejecutan Microsoft Home windows.

Otro defecto que está siendo atacado es CVE-2021-34448, una vulnerabilidad crítica de corrupción de memoria en Windows Scripting Motor. Microsoft señala que la complejidad del ataque es alta, pero no proporciona detalles sobre la extensión de los ataques activos. Un atacante podría ejecutar código en un sistema de destino haciendo que una víctima visite un sitio website especialmente diseñado, lo que Kevin Breen, director de investigación de Immersive Labs, dice que hace que esta sea la vulnerabilidad más grave para él.

«Con los dominios maliciosos, pero de aspecto profesional, que llevan certificados TLS válidos como una característica habitual en la actualidad, el compromiso sin problemas sería un asunto trivial», dice.

Dos vulnerabilidades de escalada de privilegios del kernel de Windows (CVE-2021-31979
y CVE-2021-33771) están bajo ataque activo. Ambos se clasifican como importantes y tienen una puntuación CVSS de 7,8. Requieren una baja complejidad de ataque, pocos privilegios y ninguna interacción del usuario para explotarlos con éxito.

«Estos son exactamente el tipo de vulnerabilidades en el conjunto de herramientas de ataque de ransomware, lo que permite a los actores de amenazas aumentar su nivel de usuario de usuario a administrador, para un mayor regulate sobre el medio ambiente», agrega Breen. «Los administradores deben vigilar las cuentas nuevas y existentes en busca de actividad sospechosa».

Además de las vulnerabilidades bajo ataque activo, hay varias que son de conocimiento público y deben priorizarse. Estos incluyen la vulnerabilidad crítica de RCE de Microsoft Exchange Server CVE-2021-34473, Vulnerabilidad de omisión de la característica de seguridad de Active Listing CVE-2021-33781, Error de elevación de privilegios de Exchange Server CVE-2021-34523, La característica de seguridad de Home windows ADFS omite la vulnerabilidad CVE-2021-33779y falla de suplantación de certificados de Windows CVE-2021-34492.

Muchos de los CVE parcheados este mes involucran la ejecución remota de código, y hay varios que no están bajo ataque ni son conocidos públicamente, pero que también merecen una priorización. CVE-2021-34494
es una falla crítica de RCE en el servidor DNS de Home windows que podría permitir a un atacante realizar la ejecución remota de código a un nivel privilegiado en un puerto de pink de escucha sin interacción del usuario, señaló Dustin Childs de la iniciativa Zero-Day de Pattern Micro en un entrada en el blog site.

«Estaría en lo correcto al pensar que eso equivale a un gusano insensible», escribió. «Esto está restringido a los servidores DNS únicamente, pero si hay un sistema que no desea que sea desparasitado, probablemente sea su servidor DNS». Instó a las empresas a parchear rápidamente, ya que la gravedad de este mistake resultará atractiva para los atacantes.



Enlace a la noticia unique