Concienciación y orientación relacionada con el riesgo OpenSSL 3.0 – 3.0.6 (CVE-2022-3786 y CVE-2202-3602) – Microsoft Security Response Center

Resumen

Microsoft es consciente y aborda activamente el impacto asociado con las recientes vulnerabilidades de OpenSSL anunciadas el 25 de octubre de 2022, corregidas en la versión 3..7. Como parte de nuestros procesos estándar, estamos implementando correcciones para los servicios afectados. Cualquier acción del cliente que sea necesaria se destacará en este site y en nuestras Guías de actualización de seguridad asociadas (Guía de actualización de seguridad CVE-2022-3786 y Guía de actualización de seguridad CVE-2022-3602). Como práctica recomendada, se recomienda a los clientes que administran sus propios entornos que apliquen las actualizaciones de seguridad más recientes de OpenSSL. Se recomienda encarecidamente a los clientes que consulten la Guía de actualización de seguridad para revisar cualquier acción que deban realizar.

OpenSSL versión 3..7 estuvo disponible para el público en general el 1 de noviembreS t, 2022 y OpenSSL degradaron CVE-2022-3602 de crítica a clasificación de gravedad alta. OpenSSL 3..7 soluciona dos vulnerabilidades (CVE-2022-3786 y CVE-2022-3602) que tienen un impacto de denegación de servicio para los sistemas que realizan la validación de certificados. Un atacante podría enviar un certificado creado con fines malintencionados a un cliente o servidor que analiza los certificados como parte de la autenticación, lo que provoca un bloqueo. En este momento, la vulnerabilidad no parece permitir de manera confiable la ejecución remota de código y no se sabe que esté bajo ataque.

Análisis

La vulnerabilidad de denegación de servicio (DoS) se deriva de un par de desbordamientos de búfer que pueden desencadenarse en la verificación de restricciones de nombre cuando OpenSSL realiza la validación del certificado X.509. Los desbordamientos del búfer ocurren después de la validación de la cadena de certificados y requerirían que una autoridad de certificación haya firmado un certificado malicioso, lo cual no es inconceivable, o que una aplicación continúe con la validación del certificado a pesar de que no se pudo construir una cadena de certificados para un emisor confiable.

Para aprovechar las vulnerabilidades, un atacante puede crear una dirección de correo electrónico maliciosa en el certificado X.509 para provocar un desbordamiento en la pila. Esto podría provocar un bloqueo y provocar una denegación de servicio.

Esto afecta tanto a los clientes como a los servidores TLS. Para un cliente, la vulnerabilidad podría activarse al conectarse a un servidor malicioso. Para un servidor, puede activarse si el servidor solicita la autenticación del certificado del cliente y un cliente con un certificado configurado de forma malintencionada se conecta al servidor.

Mitigación

La única mitigación conocida es actualizar a OpenSSL versión 3..7.

  • Microsoft está tomando medidas para actualizar sus productos y servicios utilizando OpenSSL 3. – 3..6 afectado.
  • Recomendamos a nuestros clientes que utilicen versiones afectadas de OpenSSL que actualicen a OpenSSL versión 3..7. Consulte las guías de actualización de seguridad de Microsoft (Guía de actualización de seguridad CVE-2022-3786 y Guía de actualización de seguridad CVE-2022-3602) para ver la lista de productos y servicios de Microsoft que dependen de OpenSSL 3. – 3..6, que los clientes deben tomar medidas para actualizar.
    • Los clientes pueden realizar un seguimiento de su estado de exposición y aplicación de parches mediante la administración de vulnerabilidades de Microsoft Defender navegando a la pestaña Exposición de puntos finales de este informe.

Guía de productos de seguridad de Microsoft

  • Microsoft Defender para la nube tiene dos características disponibles para determinar rápidamente si su entorno es vulnerable y ayudar a priorizar sus acciones descritas en este Blog.
  • Microsoft Defender Vulnerability Administration permite a los clientes realizar un seguimiento de su exposición y estado de aplicación de parches en puntos finales que ejecutan una versión susceptible de OpenSSL. Este Blog proporciona una descripción normal de los pasos que los clientes pueden tomar para identificar activos vulnerables y parchearlos.
  • Los clientes de Microsoft Defender para Endpoint pueden utilizar Análisis de amenazas en el portal de Microsoft 365 Defender para obtener lo último sobre el panorama de amenazas y con orientación para descubrir activos vulnerables en Microsoft Defender Vulnerability Administration.
  • Administración de la superficie de ataque externa de Microsoft Defender descubre y mapea continuamente su superficie de ataque electronic para proporcionar una vista externa de su infraestructura en línea. Attack Floor Insights se genera aprovechando los datos de vulnerabilidad e infraestructura para mostrar las áreas clave de preocupación para su organización. Se ha publicado una información de alta gravedad sobre los activos de superficie con las versiones 3. a 3..6 de OpenSSL dentro de las superficies de ataque. Tenga en cuenta que nuestra detección funciona muy bien en sitios web mediante la lectura de encabezados HTTP, pero otros protocolos remotos no anuncian su versión OpenSSL. Debido a esta visibilidad limitada, recomendamos encarecidamente iniciar sesión en cada sistema con acceso a Internet y ejecutar la ‘versión de openssl’ para determinar el nivel del parche. La mayoría de las distribuciones de Linux no han realizado el cambio a OpenSSL 3 y no son vulnerables.



Fuente del articulo