Ir al contenido
patch tuesday
SophosLabs Uncut

Serie de parches críticos en las actualizaciones de julio requieren una acción rápida

Una serie de vulnerabilidades de calificación crítica que se corrigieron en el martes de parches de Microsoft, incluidos al menos dos errores que la empresa sabe que están siendo explotados activamente, significa que todos debemos tomar medidas rápidas para actualizar nuestros ordenadores Windows.

Entre los 117 errores que la empresa corrigió este mes, hay 13 que pueden llevar a la ejecución remota de código (RCE) que afecta a una serie de productos. La guía de Microsoft también reveló que dos de esos errores, etiquetados como CVE-2021-34448 y CVE-2021-34527, han sido explotados activamente.

También Adobe publica actualizaciones, que corrigen nada menos que 10 errores de nivel crítico en sus aplicaciones PDF Reader y Acrobat, así como problemas graves en sus aplicaciones Illustrator, Framemaker, Bridge y Dimension. Una actualización coincidente del navegador Firefox elimina seis problemas de seguridad de “alto impacto”, así como otros de impacto moderado. Las actualizaciones de Adobe y Mozilla se proporcionan a través de los propios mecanismos de actualización de esas empresas y no a través de Windows Update.

Los dos errores de Microsoft con exploits activos afectan el motor de scripting de Windows y el servicio Print Spooler, respectivamente, con el exploit contra este último conocido por su apodo, PrintNightmare, un error para el cual Microsoft lanzó un parche temprano (“fuera de banda”) que según se informa, no protege completamente los ordenadores en los que se aplicó. La actualización mensual aplica una solución un poco más reciente para abordar algunos problemas con la versión inicial de PrintNightmare, y Microsoft ha publicado una guía técnica adicional para ayudar a los usuarios a determinar si sus máquinas son vulnerables y tomar medidas adicionales para protegerlas.

Además de los dos RCE críticos, Microsoft también corrigió los errores subyacentes a otras cinco vulnerabilidades que se conocen públicamente, pero que aún no se han explotado (o por lo menos Microsoft lo desconoce): un par de problemas de omisión de funciones de seguridad en Active Directory, dos escalada de privilegios en Exchange Server (uno de las cuales Microsoft cree que es más probable que sea explotada y tiene una clasificación de Crítica) y la capacidad de falsificar un certificado de seguridad en Windows.

En total, fue un mes excepcional para las correcciones, con un total de 44 parches para abordar las RCE, el tipo de vulnerabilidad más grave. Nueve de esas soluciones se aplican a los servidores DNS de Windows, un número inusualmente alto para esta tecnología madura. Entre ellos, al menos cuatro involucran el complemento DNS para herramientas de administración de servidor remoto, o RSAT. Las notas de Microsoft sobre los errores, CVE-2021-33749, CVE-2021-33750 y CVE-2021-33752 revelan las limitaciones (y el método) de explotación: “Un administrador necesitaría ver un registro malicioso en el DNS Snap-in para permitir la explotación de esta vulnerabilidad”.

Algunas de las correcciones implican reforzar el cifrado utilizado cuando las contraseñas se transmiten a través de la red, como cuando un usuario cambia su contraseña o inicia sesión en una máquina remota. Estas actualizaciones pueden dificultar que los atacantes utilicen herramientas de código abierto como Mimikatz para rastrear las contraseñas de administrador de las redes internas, un comportamiento que se ha convertido en de ley para los atacantes de ransomware en grandes ataques. Los parches hacen que un algoritmo de cifrado más fuerte sea el predeterminado en varias circunstancias en las que el rastreo del tráfico de la red podría revelar información confidencial.

Se realizó una reparación que suena extraña en el Kernel de Windows que podría resultar en que las computadoras que alojan máquinas virtuales ejecuten inadvertidamente código remoto en su sistema host o en otras máquinas virtuales.

Tres de las correcciones abordan las RCE en el software del servidor de correo electrónico de Exchange, tres de las RCE de destino en el software del servidor en la nube Sharepoint y cinco resuelven las RCE en las extensiones de Windows HEVC (códec de video de alta eficiencia), utilizadas por Windows 10 para mostrar video de ultra alta definición en los ordenadores modernos. Otros cinco errores de RCE corregidos este mes afectan a Windows Media Player (o los subcomponentes Media Foundation), tres de los cuales están clasificados como críticos.

Microsoft ha publicado una guía sobre cómo verificar si tienes instalado el paquete HEVC actualizado, usando el siguiente comando de PowerShell.

Get-AppxPackage -Name Microsoft.HEVCVideoExtension*

Recuperándose de PrintNightmare

Microsoft lanzó lo que ellos denominan un parche “fuera de banda” para el exploit PrintNightmare a principios de julio, después de que CISA publicara un boletín sobre el error. Si bien algunos especularon que PrintNightmare aprovechó una reparación incompleta de CVE-2021-1675 que Microsoft había lanzado en junio, al nuevo error se le asignó un código diferente de CVE-2021-34527 para distinguir los dos.

Sophos comenzó a buscar la explotación activa de PrintNightmare tan pronto como pudimos revisar el código de explotación. Nuestras primeras detecciones de lo que creemos que son personas que explotan activamente el error se encontraron en la telemetría del 5 de julio, y el 6 de julio escalamos un caso que parecía más un atacante que un simple aficionado que probaba el exploit.

Un atacante que utilizaba un presunto exploit PrintNightmare cargó malware en un ordenador de destino.

En un caso, el objetivo del ataque confirmó que no estaba involucrado en ningún tipo de prueba de penetración o evaluación de su red. Recuperamos la telemetría de varias máquinas que indican que el atacante había estado usando un exploit de prueba de concepto disponible abiertamente contra CVE-2021-1675.

Encontramos modificaciones del Registro que imitan algunas de las convenciones de ruta utilizadas en el PoC, y un archivo de carga útil llamado 1.dll (MD5: 45942ad78a041108de18a9661ea1067b21e6c041, archivo no revelado) en la ubicación donde Microsoft almacena los controladores de impresora. También recuperamos registros que revelaron que la DLL se usó para ejecutar un comando de PowerShell que el atacante usó para descargar un segundo archivo.

Los atacantes ejecutaron el segundo archivo, un script de PowerShell que entregó Mimikatz a la máquina infectada, y otra telemetría indica que los atacantes también crearon una cuenta de usuario (“support”) con permisos de nivel de administrador y una contraseña de 123456abc! y aprovechó esa cuenta para extraer un script de robo de credenciales de Github.

Todo esto es para decir, no esperes ni un minuto más de lo absolutamente necesario para instalar estas actualizaciones.

Como todos los meses, Microsoft ofrece las actualizaciones como descargas manuales en el sitio web del Catálogo de Windows, por si tu ordenador no las descarga automáticamente a través de Windows Update, o si solo quieres obtenerlas más rápido.

Resumen del año hasta la fecha de las correcciones de Microsoft, organizado por tipo de vulnerabilidad.

[PIE: Resumen del año hasta la fecha de las correcciones de Microsoft, organizado por tipo de vulnerabilidad.]

Vulnerabilidades en otras plataformas

Microsoft también publicó notas sobre una actualización de Bing Search para Android. Los usuarios que hagan clic en un enlace malintencionado o deliberadamente mal formado en la versión de Android de Bing Search podrían terminar inesperadamente en un sitio web que no tenían la intención de visitar.

Los desarrolladores de software que han integrado Open Enclave SDK en sus productos o su código pueden actualizar para incorporar las nuevas correcciones que evitan una escalada de privilegios.

Protección de Sophos

A continuación, se incluye una lista de protección publicada por SophosLabs en respuesta a este aviso para complementar cualquier protección existente y capacidades genéricas de mitigación de exploits en nuestros productos.

CVE SAV IPS (XG)
CVE-2021-31979 Exp/2131979-A
CVE-2021-34467 2305788, 2305789
CVE-2021-34448 Exp/2134448-A 9000225
CVE-2021-34473 2305807
CVE-2021-34527/CVE-2021-1675 Exp/20211675-A, Exp/20211675-B,

Exp/20211675-C, Exp/20211675-D

2305776

 

1 comentario

Dejar un comentario a reparacion muebles Cancel reply

Your email address will not be published.