En otro martes de parches comparativamente ligero, Microsoft emitió correcciones para un total de 55 vulnerabilidades y exposiciones comunes (CVE) recientemente descubiertas, seis de ellas calificadas como críticas y dos que ya están siendo explotadas públicamente.
Los dos CVE en cuestión son CVE-2021-42292, una vulnerabilidad de omisión de características de seguridad en Microsoft Excel, y CVE-2021-42321, una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Exchange Server. Ambos se clasifican como importantes, con puntuaciones CVSS de 7,8 y 8,8, respectivamente.
“CVE-2021-42321 debe ser la principal preocupación”, dijo el arquitecto senior de seguridad Recorded Future, Allan Liska. “Esta vulnerabilidad es una que se está explotando activamente en la naturaleza. Las vulnerabilidades cambiarias han sido motivo de especial preocupación este año.
“Tanto los actores estatales chinos como los ciberdelincuentes detrás del ransomware DearCry (que también se cree que opera desde China) explotaron vulnerabilidades anteriores en Microsoft Exchange (CVE-2021-26855 y CVE-2021-27065). Si bien Microsoft solo califica la vulnerabilidad como ‘Importante’ porque un atacante debe estar autenticado para explotarla, Recorded Future ha notado que obtener acceso legítimo con credenciales a los sistemas Windows se ha vuelto trivial tanto para el estado nacional como para los actores criminales cibernéticos. Esto debe tener prioridad para la aplicación de parches.
“La otra vulnerabilidad que se está explotando en estado salvaje es CVE-2021-42292. Esta es una vulnerabilidad de omisión de características de seguridad para Microsoft Excel para computadoras Windows y MacOS. Esta vulnerabilidad afecta a las versiones 2013-2021 ”.
Liska agregó: “Microsoft no deja claro en su descripción qué característica de seguridad es ignorada por la vulnerabilidad. Sin embargo, nuevamente, el hecho de que esté siendo explotado en la naturaleza es preocupante y significa que debe priorizarse para el parcheo. Microsoft Excel es un objetivo frecuente tanto de los atacantes estatales como de los ciberdelincuentes “.
Las seis vulnerabilidades críticas se enumeran como: CVE-2021-3711, que es una falla de desbordamiento del búfer de descifrado en OpenSSL; CVE-2021-26443, otra vulnerabilidad de RCE en Microsoft Virtual Machine Bus; CVE-2021-38666, una vulnerabilidad de RCE en el cliente de escritorio remoto; CVE-2021-42270, una vulnerabilidad de corrupción de memoria en el motor de secuencias de comandos Chakra; CVE-2021-42298, una vulnerabilidad de RCE en Microsoft Defender; y CVE-2021-42316, otra vulnerabilidad de RCE en Microsoft Dynamics 365.
Ninguno de los errores mencionados anteriormente se está explotando actualmente en la naturaleza al momento de escribir este artículo, aunque esto puede cambiar en poco tiempo, y muchos en la comunidad de seguridad ya están planteando preocupaciones, entre ellos Danny Kim, arquitecto principal de Virsec, quien dijo que la vulnerabilidad de Microsoft Defender era particularmente preocupante.
“Con la evaluación de explotabilidad de ‘Explotación más probable’ y el puntaje de gravedad y la repetibilidad de este ataque, creo que este CVE debería ser lo más importante para todas las empresas”, dijo Kim a Computer Weekly en comentarios enviados por correo electrónico.
“Windows Defender se ejecuta en todas las versiones compatibles de Windows. Esta vulnerabilidad aumenta significativamente la superficie de ataque potencial para las organizaciones de hoy debido a la popularidad de Windows Defender. Este CVE requiere cierta interacción del usuario, sin embargo, hemos visto en el pasado cómo los atacantes pueden usar correos electrónicos de ingeniería social / phishing para lograr dicha interacción con bastante facilidad “.
Jay Goodman de Automox señaló las vulnerabilidades en el motor de secuencias de comandos Chakra y Microsoft Dynamics 365 como dignas de mención.
“El motor de secuencias de comandos Chakra se usa ampliamente en Microsoft Edge y las vulnerabilidades de RCE son particularmente sensibles dado que permiten a los atacantes ejecutar directamente código malicioso en los sistemas explotados”, dijo. “Se recomienda encarecidamente que los administradores de TI corrijan esta vulnerabilidad en un plazo de 72 horas para minimizar la exposición a los actores de amenazas.
“Microsoft Dynamics 365 es una herramienta de planificación de recursos y CRM de Microsoft y esta vulnerabilidad está presente en las versiones 9.0 y 9.1 de su opción local. Las vulnerabilidades de ejecución remota de código son particularmente sensibles dado que permiten a los atacantes ejecutar directamente código malicioso en los sistemas explotados “.
Goodman agregó: “Se recomienda encarecidamente que los administradores de TI corrijan esta vulnerabilidad en un plazo de 72 horas para minimizar la exposición a los actores de amenazas, especialmente en una herramienta con acceso a datos confidenciales de clientes y negocios como una solución CRM”.
Mientras tanto, otro Patch Tuesday más ligero de lo habitual ha llamado la atención en la iniciativa Zero Day de Trend Micro, donde el líder de comunicaciones, Dustin Childs, sugirió que la tendencia a la baja podría ser motivo de preocupación.
“Históricamente hablando, 55 parches en noviembre es un número relativamente bajo”, escribió. “El año pasado, hubo más del doble de este número de CVE fijos. Incluso volviendo a 2018, cuando solo se arreglaron 691 CVE durante todo el año, hubo más CVE de noviembre que en este mes.
“Dado que diciembre suele ser un mes más lento en cuanto a parches, hace que uno se pregunte si hay una acumulación de parches pendientes de implementación debido a varios factores. Parece extraño que Microsoft esté lanzando menos parches después de ver solo aumentos en la industria durante años “.