Microsoft ha publicado correcciones para seis vulnerabilidades de día cero explotadas activamente en su lanzamiento del martes de parches de noviembre, una de ellas divulgada públicamente y tres de ellas con calificaciones críticas del Sistema de puntuación de vulnerabilidad común (CVSS).
Estos días cero se encuentran entre un total de 69 vulnerabilidades diferentes, 11 críticas, que se corrigieron en una actualización un poco más ligera de lo habitual, pero que puede tener un gran impacto para los equipos de seguridad debido a la época del año.
“A medida que nos acercamos a la temporada navideña, los equipos de seguridad deben estar en alerta máxima y cada vez más atentos, ya que los atacantes suelen aumentar su actividad durante este tiempo, por ejemplo, Log4j, SolarWinds”, explicó Bharat Jogi, director de investigación de vulnerabilidades y amenazas en Qualys.
“Es probable que veamos a malos actores que intentan aprovechar los días cero revelados y las vulnerabilidades liberadas que las organizaciones han dejado sin parchear”.
El único día cero divulgado públicamente, que tiene una puntuación CVSS de 5,4, lo que significa que se considera importante en lugar de crítico, es CVE-2022-41091, que es una vulnerabilidad de omisión de característica de seguridad en Windows Mark of the Web (MotW). También se corrigió una segunda vulnerabilidad de MotW, CVE-2022-41049.
Mark of the Web es una función que se supone que marca los archivos descargados de Internet y solicita a los usuarios una ventana emergente de seguridad para confirmar que el archivo es confiable.
Satnam Narang, ingeniero senior de investigación del personal de Tenable, dijo: “Aunque no se acreditó a ningún investigador en particular, esta vulnerabilidad fue descubierta recientemente como explotada en la naturaleza por el grupo de ransomware Magniber como actualizaciones de software falsas, según HP”.
Si bien CVE-2022-41091 no es demasiado dañino en sí mismo, aún merece mucha atención ya que la función MotW constituye un elemento clave de una estrategia de seguridad de defensa en profundidad, como explicó el asesor principal de seguridad de Tiberium, Gareth Lindahl-Wise.
“Las vulnerabilidades de MotW podrían conducir a la degradación o eludir la ‘Vista protegida’ incorporada de Office, lo que podría allanar el camino para que se active el código malicioso”, dijo.
Los tres días cero críticos, todos con puntuaciones CVSS de 8,8, son CVE-2022-41040, CVE-2022-41082 y CVE-2022-41128.
De estos, la vulnerabilidad de ejecución remota de código (RCE) CVE-2022-41040 y la vulnerabilidad de elevación de privilegios (EoP) CVE-2022-41082 afectan a Microsoft Exchange Server y, por sus poderes combinados, forman la cadena de ataque conocida como ProxyNotShell.
ProxyNotShell, llamado así por su similitud con la cadena de ataque de ProxyShell, salió a la luz en septiembre, pero no se parchó en la actualización de octubre, aparentemente sobre la base de que, para explotarlo al máximo, los atacantes tenían que haberse autenticado con éxito en una vulnerabilidad. servidor.
“Si bien el impacto de ProxyNotShell es limitado debido al requisito de autenticación, el hecho de que haya sido explotado en la naturaleza y que los atacantes sean capaces de obtener credenciales válidas aún hace que estos defectos importantes se reparen”, dijo Narang de Tenable.
Mientras tanto, CVE-2022-41128, una vulnerabilidad RCE en lenguajes de secuencias de comandos de Windows, también debe priorizarse porque es de baja complejidad, utiliza el vector de red y no necesita privilegios adicionales para explotar. Sin embargo, se basa en manipular a la víctima para que visite un sitio web malicioso.
“Este tipo de exploit es ideal para los atacantes que buscan obtener un punto de apoyo inicial en una red donde pueden atacar a muchos usuarios a escala y solo necesitan una interacción exitosa para obtener acceso”, dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs.
“Estos ataques explotan el elemento humano, y es por eso que es tan importante dotar a la fuerza laboral de habilidades y capacidades para detectar y evitar tales ataques”, agregó.
Los otros dos días cero, ambos calificados como importantes con puntajes CVSS de 7.8, son CVE-2022-41073, una vulnerabilidad EoP en Windows Print Spooler, y CVE-2022-41125, una vulnerabilidad EoP en Windows CNG Key Isolation Service.
“El administrador de trabajos de impresión ha sido un objetivo popular para las vulnerabilidades en los últimos 12 meses, y este marca el noveno parche”, dijo Breen de Immersive Labs.
“Este tipo de vulnerabilidades de escalada de privilegios casi siempre se ven como un seguimiento de un compromiso inicial en el que los actores de amenazas luego buscarán obtener acceso a nivel de sistema o dominio. Este mayor nivel de acceso es necesario para deshabilitar o alterar las herramientas de monitoreo de seguridad antes de ejecutar ataques de credenciales con herramientas como mimikatz que pueden permitir a los atacantes moverse lateralmente a través de una red”, dijo.