bienvenido a t-cert
Microsoft lanzó este lunes la actualización de seguridad para sus productos correspondiente a noviembre. En esta oportunidad se corrigieron más de 68 fallos de seguridad, que incluyen a seis vulnerabilidades zero-day que están siendo aprovechadas por actores maliciosos en campañas activas.
Además, 11 de las vulnerabilidades reparadas fueron clasificadas como críticas. Por otra parte, 27 vulnerabilidades permitirían a un atacante escalar privilegios, mientras que 16 podrían ser utilizadas en ataques de ejecución remota de código.
Una de las principales novedades de la actualización de noviembre son los parches para corregir las dos vulnerabilidades zero-day en Microsoft Exchange apodadas ProxyNotShell, las cuales están siendo explotadas activamente desde septiembre en ataques que buscan ejecutar código de manera remota en los servidores comprometidos para robar datos y mantenerse lejos de los radares.
Estas dos vulnerabilidades son la CVE-2022-41040, del tipo Server Side Request Forgery (SSRF), y la CVE-2022-41082, que permite la ejecución remota de código (RCE) cuando PowerShell es accesible al atacante.
Desde septiembre que Microsoft confirmó que está al tanto de estas vulnerabilidades y de los reportes que indican que están siendo explotadas por actores maliciosos, las organizaciones han tenido que mitigar los riesgos siguiendo las recomendaciones de la compañía hasta que lanzara los parches tan esperados. En la actualización de octubre Microsoft no llegó a tiempo, pero en la de noviembre ya están disponibles.
Las otras zero-day que Microsoft parcheó en la actualización de noviembre son:
CVE-2022-41128: una vulnerabilidad en JScript de ejecución remota de código catalogada como crítica que ha estado siendo aprovechada por cibercriminales en campañas maliciosas. Para explotar este fallo un atacante necesita que la víctima acceda a un sitio o servidor compartido malicioso, para lo cual puede utilizar un correo de phishing o un mensaje de chat.
CVE-2022-41091: una vulnerabilidad que permite bypassear la protección que brinda Mark of the Web para los archivos que son descargados de Internet. Los atacantes pueden explotar este fallo mediante el envío de un archivo especialmente diseñado. Esta vulnerabilidad al parecer también está siendo explotada activamente por actores maliciosos.
CVE-2022-41073: este fallo permite la escalación de privilegios y está presente en Windows Print Spooler. De ser explotado exitosamente por un atacante podría obtener permisos SYSTEM.
CVE-2022-41125: la última de las zero-day corregidas en noviembre está presente en (CNG) Key Isolation Service y de ser explotada satisfactoriamente por un atacante podría escalar privilegios y obtener permisos SYSTEM. Al igual ocurre con el resto de las vulnerabilidades reparadas por Microsoft, no hay información sobre los ataques o los actores maliciosos que están abusando de estos fallos.
Por su parte, la Agencia de ciberseguridad de los Estados Unidos, CISA, recomienda a usuarios y administradores de sistemas instalar las últimas actualizaciones de seguridad. Para más información sobre las vulnerabilidades corregidas en los productos de Microsoft en la actualización de noviembre, pueden visitar la página oficial de Microsoft.
.jpg){kind=small}