Se han reportado 4 vulnerabilidades de día cero (Zero day) en los instaladores de Microsoft .NET y Microsoft Visual Studio que permitirían a un atacante realizar ataques de denegación de servicio (DoS). Se debe destacar que para la explotación de estas vulnerabilidades se requiere que el atacante posea mínimamente privilegios bajos.
Las vulnerabilidades reportadas son las siguientes:
- ZDI-22-425, ZDI-22-427 y ZDI-22-428 de severidad media, con puntuaciones de 5.3. Estas vulnerabilidades se producen debido a un fallo en un componente desconocido del instalador. Un atacante remotamente podría crear un enlace simbólico (symbolic link) y forzar al instalador a sobrescribir archivos con el objetivo de crear condiciones para realizar denegación de servicio (DoS) en el sistema afectado. El software afectado es el instalador de Microsoft Visual Studio.
- ZDI-22-426 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad es debida a un fallo en un componente desconocido del instalador. Un atacante remotamente podría crear un enlace simbólico (symbolic link) y forzar al instalador a sobrescribir archivos con el objetivo de crear condiciones para realizar denegación de servicio (DoS) en el sistema afectado. El software afectado es el instalador de Microsoft .NET.
Estas vulnerabilidades afectan a los siguientes recursos:
- Instalador de Microsoft Visual Studio.
- Instalador de Microsoft .NET.
Recomendamos restringir la interacción con las aplicaciones afectadas hasta que se publique un parche para su mitigación.
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-0day-dos-productos-microsoft
- https://www.zerodayinitiative.com/advisories/ZDI-22-425/
- https://www.zerodayinitiative.com/advisories/ZDI-22-426/
- https://www.zerodayinitiative.com/advisories/ZDI-22-427/
- https://www.zerodayinitiative.com/advisories/ZDI-22-428/