Microsoft ha lanzado actualizaciones de seguridad para múltiples vulnerabilidades incluyendo dos de día cero (0-day), que permitirían a un atacante realizar ejecución remota de código (RCE), obtener escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica”, 51 (cincuenta y uno) de severidad “Alta”, 10 (diez) de severidad “Media”, 1 (una) de severidad “Baja” y 15 (quince) sin severidad asignada aún. Las principales se detallan a continuación:
- CVE-2022-34718, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la configuración TCP/IP en Windows. Esto permitiría a un atacante realizar ejecución remota de código (RCE) como usuario SYSTEM.
- CVE-2022-34722, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en las extensiones de protocolo de intercambio de claves de Internet (IKE) de Windows. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
- CVE-2022-37969, de severidad “alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad de día cero (0-day) se debe a una falla en el controlador del sistema de archivos de registro común de Windows. Esto permitiría a un atacante obtener escalamiento de privilegios en el sistema.
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Algunos productos afectados son:
- .NET and Visual Studio
- .NET Framework
- Azure Arc
- Cache Speculation
- HTTP.sys
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Windows ALPC
- Microsoft Windows Codecs Library
- Network Device Enrollment Service (NDES)
Puede acceder a la lista completa de productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por Windows en el siguiente enlace:
Referencias:
- https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/
- https://www.securityweek.com/microsoft-raises-alert-under-attack-windows-flaw
- https://nvd.nist.gov/vuln/detail/CVE-2022-34718
- https://nvd.nist.gov/vuln/detail/CVE-2022-34722
- https://nvd.nist.gov/vuln/detail/CVE-2022-37969
- https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
- https://support.microsoft.com/en-gb