Vulnerabilidades críticas en productos Microsoft.

Microsoft ha lanzado actualizaciones de seguridad, en un anuncio oficial del mes de mayo que subsanan un total de 75 vulnerabilidades, incluidas 3 de día cero. Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Crítica”, 67 (sesenta y siete) de severidad “Alta” y 1 (uno) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2022-26925 (Vulnerabilidad de falsificación de Windows LSA), vulnerabilidad de día cero, de severidad crítica que está siendo explotada activamente. La misma corresponde a una vulnerabilidad de suplantación de identidad en el LSA (local security authority) de Windows. Un atacante no autenticado podría obligar a los controladores de dominio a autenticarse en un servidor controlador del atacante mediante NTLM. 

• CVE-2022-26937 (Vulnerabilidad de ejecución remota de código del sistema de archivos de red de Windows), de severidad crítica, con una puntuación de 9.8. Esta se debe a un error desconocido que afecta al sistema de archivo de red de Windows (NFS). Esto permitiría a un atacante realizar ejecución remota de código (RCE) del sistema de archivos de red de Windows. 

• CVE-2022-29972 (Vulnerabilidad inyección de argumentos del controlador Redshift), de severidad crítica. Esta se debe a un error de autenticación basada en navegador del controlador ODBC de Amazon Redshift de Magnitude Simba. Esto permitiría a un atacante realizar ejecución remota de código (RCE). 

• CVE-2022-22017 (Vulnerabilidad de ejecución remota de código en el cliente de Escritorio remoto), de severidad crítica. Esta se debe a un error en la conexión RDP. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema de la víctima. 

• CVE-2022-26923 (Vulnerabilidad de elevación de privilegios en los Servicios de dominio de Active Directory), de severidad crítica. Esta se debe a un posible fallo en servicio de dominio de Active Directory. Un atacante podría manipular atributos en cuentas de equipo que posee o administra y adquirir un certificado de Servicios de Active Directory realizando escalamiento de privilegios. 

• CVE-2022-22012 y CVE-2022-29130 (Vulnerabilidades de ejecución remota de código LDAP de Windows), de severidad crítica, con una puntuación de 9.8. Una función desconocida del componente LDAP es afectada por esta vulnerabilidad. Estas vulnerabilidades pueden ser explotadas por un atacante autenticado en caso de que la política LDAP «MaxReceiveBuffer» se encuentre configurada en un valor más alto que el valor predeterminado (es decir, una mayor cantidad máxima de subprocesos que las solicitudes LDAP pueden contener por procesador). 

Se puede acceder al listado completo de las vulnerabilidades aquí. 

Impacto:  

La explotación de estas vulnerabilidades permitiría a un atacante realizar ejecución remota de código (RCE), acceder a los controladores de dominio, escalamiento de privilegio, entre otros. 

Mitigación: 

Se recomienda instalar las actualizaciones correspondientes provistas por Microsoft, o bien, seguir las instrucciones para mitigar el riesgo asociado a cada CVE en el siguiente enlace: 

• https://msrc.microsoft.com/update-guide/releaseNote/2022-May 

Adicionalmente, sugerimos seguir las siguientes instrucciones como mitigación para las vulnerabilidades CVE-2022-26925 y CVE-2022-26937:

Fuente: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26937 

Información adicional: 

• https://www.cert.gov.py/wp-content/uploads/2022/07/BOL-CERT-PY-2022-23-Actualizaciones-de-Microsoft.pdf
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1243/ 
• https://threatpost.com/microsoft-zero-day-mays-patch-tuesday/179579/ 

• https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/ 
• https://msrc.microsoft.com/update-guide/releaseNote/2022-May