Microsoft ha resuelto un total de 44 vulnerabilidades y exposiciones comunes (CVE), siete de las cuales fueron calificadas como críticas y solo una de las cuales estaba siendo explotada activamente en la naturaleza como un día cero, en un lanzamiento de Patch Tuesday más ligero de lo habitual.
Esta es la segunda vez en 2021 que Microsoft ha parcheado menos de 50 CVE, la última vez en junio.
También marca una caída significativa desde el martes de parches de julio, que solucionó 117 vulnerabilidades, 13 de las cuales eran críticas y cuatro de las cuales estaban siendo explotadas activamente en ese momento.
El día cero parcheado que se explota es CVE-2021-36948, una vulnerabilidad de elevación de privilegios en el servicio médico de Windows Update que fue informada internamente por los equipos de investigación de seguridad de Microsoft.
Según el gerente senior de marketing de productos de Automox, Eric Feldman, las vulnerabilidades de este mes giran en torno a componentes en Windows que realizan comunicaciones de red, conexiones a Internet, impresión, reparación de archivos o conexiones remotas.
“Varios de estos componentes han tenido una serie de vulnerabilidades reportadas en lo que va de año. A medida que el verano comienza a terminar, el regreso a las oficinas físicas parece ser menos probable para muchos segmentos de la fuerza laboral ”, dijo. “La tendencia es que el trabajo remoto llegó para quedarse, lo que hace que la priorización de parchar estos componentes sea aún más vital”.
Al desglosar la vulnerabilidad explotada, que se marcó como importante, el director de marketing de productos de Automox, Jay Goodman, dijo que Update Medic era un nuevo servicio que permitía a los usuarios reparar los componentes de Windows Update de un estado dañado para que el dispositivo pueda continuar recibiendo actualizaciones.
“El exploit es de baja complejidad y puede explotarse sin la interacción del usuario, lo que hace que sea una vulnerabilidad fácil de incluir en una caja de herramientas de adversarios”, dijo, y agregó que debido a su explotación en la naturaleza, las organizaciones deben priorizar un parche.
“Para agravar la situación, las vulnerabilidades de ejecución remota de código son particularmente problemáticas ya que permiten a los atacantes ejecutar código malicioso en los sistemas explotados. Cuando se combinan con otras vulnerabilidades que permiten la escalada de privilegios, los atacantes pueden tomar el control total del sistema objetivo rápida y fácilmente y usarlo para exfiltrar datos o moverse lateralmente dentro de la infraestructura de la organización “.
Ninguna de las vulnerabilidades críticas ha sido explotada todavía, pero todas giran en torno a la ejecución remota de código (RCE). Estos incluyen CVE-2021-26432, -26424-34480, -34530, -34534, -34535 y -36936.
El arquitecto senior de seguridad de Recorded Future, Allan Liska, dijo que, de estos, CVE-2021-26424 era al que las organizaciones deberían prestar más atención.
“Se trata de una vulnerabilidad de ejecución remota de código TCP / IP de Windows que Microsoft ha calificado de crítica. Esta vulnerabilidad afecta a Windows 7 a 10 y Windows Server 2008 a 2019 ”, dijo.
“Si bien esta vulnerabilidad no figura como divulgada públicamente o explotada en la naturaleza, Microsoft sí la etiquetó como ‘explotación más probable’, lo que significa que la explotación es relativamente trivial. Las vulnerabilidades en la pila de TCP / IP pueden ser complicadas: algunas son fáciles de explotar mientras que otras son casi imposibles, dependiendo de dónde se encuentren en la pila “.
En cuanto a las vulnerabilidades de la cola de impresión, Chris Goettl, director senior de gestión de productos de Ivanti, señaló que dos de ellas (CVE-2021-34481 y -36936) se marcaron como divulgadas públicamente.
“CVE-2021-34481 es en realidad un relanzamiento del martes de parches de julio. Después de una investigación más completa, Microsoft realizó una actualización adicional para abordar la vulnerabilidad de manera más completa. Normalmente, una divulgación pública es suficiente para poner una vulnerabilidad en mayor riesgo de ser explotada, ya que los detalles de la vulnerabilidad estaban disponibles antes de que se publicara la actualización ”, dijo.
“En este caso, justo después de varias vulnerabilidades conocidas de cola de impresión explotadas, incluida PrintNightmare (CVE-2021-34527), el riesgo de que estas vulnerabilidades divulgadas públicamente sean explotadas ha aumentado.
“A medida que un actor de amenazas investiga el código en busca de vulnerabilidades, potencialmente buscará múltiples formas de explotar un área de código débil. Los investigadores de White Hat pudieron descubrir e informar sobre estas vulnerabilidades adicionales, por lo que deberíamos esperar que los actores de amenazas también puedan identificar estas vulnerabilidades adicionales “.
Satnam Narang, ingeniero de investigación de personal de Tenable, agregó que Microsoft abordó un total de tres vulnerabilidades en la cola de impresión de Windows, dos de las cuales (CVE-2021-36947 y -36936) fueron calificadas como más probables de explotación. La última vulnerabilidad se identificó como crítica.
“Debido a la naturaleza ubicua del spooler de impresión de Windows dentro de las redes, las organizaciones deben priorizar la corrección de estas fallas lo antes posible”, dijo.