Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades, incluidas 6 de día cero (0-day) que afectan a productos Microsoft, que permitirían a un atacante realizar escalamiento de privilegios, ejecución remota de código (RCE), denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de un total de 81 (ochenta y uno). Las principales se detallan a continuación:
- CVE-2022-41040, de severidad “alta” y con puntuación asignada de 8.8. Esta vulnerabilidad de día cero (0-day) se debe a un error de control de acceso del servidor Exchange. Esto permitiría a un atacante remoto realizar ataques del tipo server-side request forgery (SSRF). Hemos emitido un boletín al respecto con los detalles en el siguiente enlace.
- CVE-2022-41082, de severidad “alta” y con puntuación asignada de 8.8. Esta vulnerabilidad de día cero (0-day) se debe a una falla en el componente PowerShell Handler. Esto permitiría a un atacante realizar ejecución remota de código (RCE). Hemos emitido un boletín al respecto con los detalles en el siguiente enlace.
- CVE-2022-41128, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad de día cero (0-day) se debe a un error de límite al procesar sentencias HTML en el motor JScript9 de Windows. Un atacante remoto podría engañar a la víctima para que visite un sitio web malicioso especialmente diseñado y provocar ejecución remota de código (RCE) en el sistema destino.
- CVE-2022-41073, de severidad “alta”, con puntuación asignada de 7.8. Esta vulnerabilidad de día cero (0-day) se debe a una falla de límite en la cola de impresión en Windows. Esto permitiría a un atacante realizar escalamiento de privilegios al usuario administrador (system).
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Algunos de los productos afectados son:
- Microsoft .NET Framework, versiones 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8, 4.8.1.
- Microsoft Windows Server, versiones 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022, 2022 Datacenter.
- Microsoft Exchange, versiones 2013, 2016, 2019.
- Azure, versiones CLI, CycleCloud (7 y 8), EFLOW, RTOS GUIX Studio
Puede acceder al listado completo de productos afectados, aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.cert.gov.py/wp-content/uploads/2022/10/BOL-CERT-PY-2022-38-Vulnerabilidades-de-dia-cero-en-Microsoft-Exchange-Server.pdf
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1418/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41040
- https://nvd.nist.gov/vuln/detail/CVE-2022-41082
- https://nvd.nist.gov/vuln/detail/CVE-2022-41128
- https://nvd.nist.gov/vuln/detail/CVE-2022-41073
- https://msrc.microsoft.com/update-guide/vulnerability
- https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045