Nueve vulnerabilidades recientemente reveladas con puntajes de alto riesgo en productos de algunos de los proveedores más utilizados hicieron de noviembre un mes ajetreado para los equipos de seguridad, con un número comparativamente alto de errores revelados que afectan a Microsoft, un día cero en Google Chromium demostrando ser un asunto algo serio , y el resurgimiento de una vulnerabilidad conocida de Oracle demostró que la novedad no es necesariamente una ventaja para los actores de amenazas, según los últimos análisis mensuales de los investigadores de Recorded Future.
Recorded Future, que ha estado ejecutando su propio resumen de vulnerabilidades a través de su operación de investigación interna Insikt Group durante varios meses, dijo que noviembre había sido un mes excelente, particularmente para Microsoft, que lanzó correcciones para un total de seis días cero. el 9 de noviembre.
De estos, dijo, los más impactantes fueron dos vulnerabilidades en la función de seguridad Mark of the Web (MotW), que se supone que es una salvaguardia para mostrar que los archivos descargados de Internet son seguros, pero si se eluden pueden conducir fácilmente a código malicioso que se activa.
Sus investigadores también señalaron una vulnerabilidad de ejecución remota de código (RCE) y elevación de privilegios (EoP) en Microsoft Exchange Server que, cuando se encadena, forma el exploit previamente revelado conocido como ProxyNotShell.
“Dado su dominio como sistema operativo tanto para usuarios individuales como para entornos corporativos, Microsoft Windows es constantemente un objetivo para la explotación de vulnerabilidades”, dijeron los investigadores de Insikt Group, “pero la gran cosecha de vulnerabilidades de día cero asociadas con Microsoft Windows en noviembre de 2022 fue sorprendente incluso en medio de un año de alto perfil y, a menudo, un alto número de días cero”.
Mientras tanto, el equipo de Google parchó CVE-2022-4135, un RCE de día cero en el navegador web Google Chrome, después de encontrar actores de amenazas que lo explotan en la naturaleza. Este es el octavo día cero de Chrome que se encuentra en 2022, y la explotación exitosa provoca un desbordamiento del búfer de almacenamiento dinámico en tres versiones de Chrome.
El Grupo Insikt dijo que, dado el uso generalizado de Chrome y los navegadores basados en Chrome, este problema merece mucha atención.
“Los navegadores web como Microsoft Edge, Brave, Opera y Vivaldi también son vulnerables a la explotación de esta falla porque están basados en Chromium, lo que significa que, irónicamente, la divulgación de Google agregó al menos una vulnerabilidad de día cero más a la lista de esos. que los defensores de Microsoft deben preocuparse”, dijeron.
Además de esto, otra vulnerabilidad en Google Chrome, rastreada como CVE-2022-4262, fue revelada y agregada al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 2 de diciembre.
CVE-2022-4262 es una vulnerabilidad de confusión de tipo V8 en el motor Chromium V8, y Google dijo que estaba al tanto de un exploit en la naturaleza. Se solucionó en una actualización implementada la semana pasada, pero su inclusión en el catálogo KEV, una lista de errores importantes que las organizaciones gubernamentales de EE. UU. están obligadas a corregir en un calendario mensual continuo, significa que merece la atención inmediata de los equipos de seguridad corporativos.
También aparece en la lista de Recorded Future y se agregó al catálogo de KEV en la última quincena, CVE-2022-35587, una vulnerabilidad RCE en Oracle Fusion Middleware Access Manager que, explotada con éxito, permite que un actor no autenticado con acceso a la red a través de HTTP tome el control Administrador de acceso. Esto tiene un puntaje base de CVSS de 9.8 y no es difícil de explotar, y lo que es peor, se reveló inicialmente en enero de 2022, pero desde entonces ha vuelto a aparecer.
“La explotación activa de la vulnerabilidad sigue a la divulgación de los exploits de prueba de concepto (POC) para la vulnerabilidad, que han estado disponibles durante ‘varios meses’, según SecurityWeek”, dijo el equipo de Insikt.
Además de los seis días cero de Microsoft y los otros descritos anteriormente, el equipo de Insikt también enumeró otras tres vulnerabilidades notables de noviembre que pueden no estar tan extendidas, pero resultarán particularmente impactantes para aquellos a quienes afectan.
Estos son CVE-2022-38374 en el servicio de autenticación/autorización de aplicaciones web FortiADC de Fortinet, CVE-2022-39307 en la plataforma de visualización de datos de Grafana y CVE-2022-43781 en el repositorio de código fuente basado en BitBucket Git de Atlassian.
El equipo observó que tanto Atlassian como Fortinet ya han experimentado la explotación de vulnerabilidades críticas en 2022, y señaló que la vulnerabilidad de Fortinet en particular “es el tipo de vulnerabilidad que atrae a los delincuentes o grupos de estados-nación que buscan comprometer una pieza clave de la red. infraestructura”.