SophosLabs Uncut

Microsoft corrige 52 vulnerabilidades en los parches de febrero de 2022

Febrero de 2022 ha sido un mes de cierto respiro después de dos meses relativamente complicados. Después de solucionar 64 vulnerabilidades en diciembre de 2021 y más de 100 en enero de 2022, febrero presenta 52 vulnerabilidades.

Febrero es también un mes más tranquilo, ya que en el momento de la publicación Microsoft no calificó ninguna de las vulnerabilidades como crítica. Sólo una aparece como conocida públicamente (todavía no es crítica), y ninguna ha sido explotada públicamente, según la empresa.

Sin embargo, no es un mes de descanso: Los parches de este mes corrigen fallos en Microsoft Windows, Office, Microsoft Dynamics, el navegador Edge, Microsoft Visual Studio y algunos productos menos conocidos. Destacan tres de las vulnerabilidades que afectan a Visual Studio y Windows.

Además, Microsoft acaba de anunciar un cambio importante en la forma en que algunas aplicaciones de Microsoft Office manejarán las macros en los documentos que provienen de internet: Las macros VBA obtenidas de Internet se bloquearán por defecto. Este cambio se aplicará a partir de abril de 2022 con la versión 2203.

Vulnerabilidades destacadas

Vulnerabilidad de ejecución remota de código en el servidor DNS de Windows

  • CVE-2022-21984

Aunque esta vulnerabilidad está calificada como “Importante”, las organizaciones que utilizan Active Directory pueden querer dar prioridad a esta actualización como “Crítica”. Esto afecta a todas las instancias del servidor DNS de Windows, incluidas las que ejecutan Active Directory. Microsoft señala que, en el mejor de los casos, sólo existen mitigaciones parciales para esta vulnerabilidad. La aplicación de la actualización es la única solución completa.

Basándonos en la información proporcionada por Microsoft sobre esta CVE, parece ser una vulnerabilidad de ejecución de código a nivel de sistema en el servidor DNS de Microsoft, lo que significa que está basada en la red. Esto parece indicar que un compromiso exitoso de un servidor de Active Directory usando esto podría potencialmente dar a los atacantes el control de Active Directory, poniendo toda la red en riesgo.

Aparece como “Explotación menos probable” tanto para las últimas versiones del software como para las más antiguas. Tampoco se ha divulgado públicamente. Y los créditos indican que se trata de un hallazgo interno de Microsoft Offensive Research & Security Engineering (MORSE). Todo esto mitiga los riesgos de ataques activos contra esta vulnerabilidad, al menos a corto plazo.

  • CVE-2022-21991 Vulnerabilidad de ejecución remota de código en la extensión de desarrollo de Visual Studio

Los desarrolladores y quienes administran entornos de desarrollo deben tener en cuenta que este mes hay dos vulnerabilidades en Visual Studio, siendo CVE-2022-21991 particularmente importante.

Esta afecta a la extensión de desarrollo remoto de Visual Studio Code. La página de Microsoft señala que “el paquete de extensión de desarrollo remoto permite abrir cualquier carpeta en un contenedor, en una máquina remota o en el subsistema de Windows para Linux (WSL) y aprovechar todo el conjunto de funciones de VS Code”.

Microsoft señala con respecto a esta vulnerabilidad que “un atacante necesitaría enviar una solicitud especialmente diseñada a un host que ejecute la extensión de desarrollo remoto de Visual Studio Code. Este problema sólo afecta a los sistemas configurados para albergar un entorno de desarrollo remoto”.

Aunque esto significa que sólo los entornos de desarrollo que lo han instalado están en riesgo, también significa que los entornos de desarrollo que han instalado esta herramienta para permitir el desarrollo remoto están en riesgo de un ataque de ejecución de código basado en la red. Un ataque que tuviera éxito podría poner potencialmente en riesgo cualquier cosa en ese entorno de desarrollo, incluyendo pero no solo el código fuente, herramientas, documentos o cualquier otro recurso alojado en ese entorno de desarrollo habilitado de forma remota.

Las ramificaciones de esto son que los entornos de desarrollo que utilizan la extensión de desarrollo remoto de Visual Studio Code podrían estar en riesgo de ataques dirigidos a la integridad del código fuente que desarrollan, como hemos visto en algunos ataques a la cadena de suministro a lo largo de los años.

También cabe destacar la vulnerabilidad de denegación de servicio del servidor web Kestrel CVE-2022-21986, que también afecta a Visual Studio. En este caso, afecta al servidor web Kestrel que forma parte de Visual Studio 2017 para Mac.

Microsoft Dynamics GP y Microsoft Dynamics 365 (local)

Existen seis vulnerabilidades que afectan a los clientes que utilizan versiones antiguas y locales de Microsoft Dynamics: Microsoft Dynamics GP, un predecesor del actual Microsoft Dynamics 365 y la versión local de Microsoft Dynamics 365. Ambos productos están sujetos a vulnerabilidades de ejecución remota de código. Debido a que los clientes de Microsoft Dynamics pueden incluir pequeñas y medianas empresas (PYMES) que pueden no tener un programa de parches, estas son actualizaciones importantes.

Vulnerabilidad de elevación de privilegios del kernel de Windows

CVE-2022-21989

Esta es la única vulnerabilidad que se conoce públicamente. También está clasificado como “Explotación”, probablemente tanto para las versiones más recientes como para las anteriores de Windows. Esta es una vulnerabilidad de elevación de privilegios (EoP) que afecta a AppContainer. Un ataque exitoso podría elevar los privilegios de un contenedor y ejecutar código o acceder a recursos con un nivel de integridad más alto que el entorno de ejecución de ese AppContainer.

Microsoft Windows

26 de las vulnerabilidades de este mes se aplican a varias versiones de Microsoft Windows. Todos están clasificados como “Importantes”. Ninguna se divulga públicamente y ninguna se explota públicamente en el momento de la publicación.

Como se señaló anteriormente, uno de estas (CVE-2022-21984) afecta al DNS de Windows y otra (CVE-2022-21989) es una vulnerabilidad del kernel EoP conocida públicamente clasificada como “probable” de ser explotada. Los puntos clave adicionales con respecto a las otras vulnerabilidades de Windows incluyen:

  • Una vulnerabilidad, CVE-2022-21996 – Win32k Elevation of Privilege Vulnerability, se aplica solo a Windows 11.
  • Hay cuatro vulnerabilidades (CVE-2022-22717, CVE-2022-22718, CVE-2022-21997 CVE-2022-21999) que afectan a Print Spooler, un componente que ha estado bajo ataque y escrutinio desde la apareición de PrintNightmare a fines de junio. 2021. Vale la pena señalar que todas estas son vulnerabilidades de EoP, y ninguna se ha divulgado públicamente ni se ha explotado públicamente, hasta donde Microsoft sabe.
  • Hay cuatro vulnerabilidades (CVE-2022-21981, CVE-2022-22710, CVE-2022-21998, CVE-2022-22000) que afectan al controlador del sistema de archivos de registro comunes de Windows. Dos son EoP, una es una Denegación de servicio (DoS) y una es Divulgación de información
  • Cuatro vulnerabilidades (CVE-2022-22709, CVE-2022-21844, CVE-2022-21926, CVE-2022-21927) afectan a la biblioteca de códecs de Microsoft Windows.
  • Dos vulnerabilidades (CVE-2022-22712, CVE-2022-21995) afectan a Hyper-V, incluida una vulnerabilidad RCE.
  • Dos vulnerabilidades (CVE-2022-21985, CVE-2022-22001) que afectan a Remote Access Connection Manager: una vulnerabilidad de divulgación de información y una EoP.
  • Una vulnerabilidad RCE (CVE-2022-21992) que afecta a la administración de dispositivos móviles de Windows
  • Una vulnerabilidad EoP (CVE-2022-21994) que afecta a Windows DWM Core Library (Administrador de ventanas de escritorio).
  • Una vulnerabilidad de divulgación de información (CVE-2022-21993) que afecta al controlador de modo kernel NFS ONCRPC XDR.
  • Una vulnerabilidad EoP (CVE-2022-22715) que afecta a Named Pipes.
  • Una vulnerabilidad RCE (CVE-2022-21971) que afecta a Windows runtime.
  • Una vulnerabilidad de RCE (CVE-2022-21974) que afecta a Windows Roaming Security RMS (RMSRoamingSecurity.dll).
  • Una vulnerabilidad DoS (CVE-2022-22002) que afecta a la imagen de perfil de la cuenta de usuario de Windows.

La lista completa de vulnerabilidades que afectan a Microsoft Windows se enumera a continuación.

1. CVE-2022-21844 HEVC Video Extensions Remote Code Ejecución remota de código
2. CVE-2022-21926 HEVC Video Extensions Remote Code Ejecución remota de código
3. CVE-2022-21927 HEVC Video Extensions Remote Code Ejecución remota de código
4. CVE-2022-22715 Named Pipe File System Elevación de privilegios
5. CVE-2022-21974 Roaming Security Rights Management Services Ejecución remota de código
6. CVE-2022-22709 VP9 Video Extensions Ejecución remota de código
7. CVE-2022-21996 Win32k Elevación de privilegios
8. CVE-2022-22710 Windows Common Log File System Driver Denegación de servicio
9. CVE-2022-21981 Windows Common Log File System Driver Elevación de privilegios
10. CVE-2022-22000 Windows Common Log File System Driver Elevación de privilegios
11. CVE-2022-21998 Windows Common Log File System Driver Divulgación de información
12. CVE-2022-21984 Windows DNS Server Ejecución remota de código
13. CVE-2022-21994 Windows DWM Core Library Elevación de privilegios
14. CVE-2022-22712 Windows Hyper-V Denegación de servicio
15. CVE-2022-21995 Windows Hyper-V Ejecución remota de código
16. CVE-2022-21989 Windows Kernel Elevación de privilegios
17. CVE-2022-21992 Windows Mobile Device Management Ejecución remota de código
18. CVE-2022-21997 Windows Print Spooler Elevación de privilegios
19. CVE-2022-21999 Windows Print Spooler Elevación de privilegios
20. CVE-2022-22717 Windows Print Spooler Elevación de privilegios
21. CVE-2022-22718 Windows Print Spooler Elevación de privilegios
22. CVE-2022-22001 Windows Remote Access Connection Manager Elevación de privilegios
23. CVE-2022-21985 Windows Remote Access Connection Manager Divulgación de información
24. CVE-2022-21971 Windows Runtime Ejecución remota de código
25. CVE-2022-21993 Windows Services for NFS ONCRPC XDR Driver Divulgación de información
26. CVE-2022-22002 Windows User Account Profile Picture Denegación de servicio

Microsoft Office

Once vulnerabilidades afectan a Microsoft Office. Todas están calificadas como “Importantes”. Ninguno se divulga públicamente y ninguna se explota públicamente en el momento de la publicación.

      • Tres vulnerabilidades RCE (CVE-2022-22003, CVE-2022-23252, CVE-2022-22004) afectan a Microsoft Office.
      • Estas vulnerabilidades (CVE-2022-21987, CVE-2022-21968, CVE-2022-22005) afectan a Microsoft SharePoint e incluyen una vulnerabilidad RCE, una EoP y una suplantación de identidad.
      • Una vulnerabilidad DoS (CVE-2022-21965) afecta a Microsoft Teams.
      • Una vulnerabilidad de divulgación de información (CVE-2022-22716) afecta a Microsoft Excel.
      • Una vulnerabilidad RCE (CVE-2022-21988) afecta a Microsoft Visio.
      • Una omisión de función de seguridad (CVE-2022-23255) afecta a Microsoft OneDrive para Android.
      • Una omisión de función de seguridad (CVE-2022-23280) afecta a Microsoft Outlook para Mac. Esta vulnerabilidad tiene un vector de ataque de panel de vista previa sin interacción del usuario; sin embargo, el principal impacto parece ser la exposición de la dirección IP del objetivo: es posible la ejecución del código.

La lista completa de vulnerabilidades que afectan a Microsoft Office se enumera a continuación.

1. CVE-2022-21965 Microsoft Teams Denegación de servicio
2. CVE-2022-21968 Microsoft SharePoint Server Elevación de privilegios
3. CVE-2022-21987 Microsoft SharePoint Server Spoofing
4. CVE-2022-21988 Microsoft Office Visio Ejecución remota de código
5. CVE-2022-22003 Microsoft Office Graphics Ejecución remota de código
6. CVE-2022-22004 Microsoft Office ClickToRun Ejecución remota de código
7. CVE-2022-22005 Microsoft SharePoint Server Ejecución remota de código
8. CVE-2022-22716 Microsoft Excel Divulgación de información
9. CVE-2022-23252 Microsoft Office Divulgación de información
10. CVE-2022-23255 Microsoft OneDrive para Android Anulación de elementos de seguridad
11. CVE-2022-23280 Microsoft Outlook para Mac Anulación de elementos de seguridad

Microsoft Dynamics

Cinco de las seis vulnerabilidades de este mes afectan a Microsoft Dynamics GP, un predecesor del actual Microsoft Dynamics 365. Una afecta a Microsoft Dynamics 365 pero solo a la versión local.

Una de las vulnerabilidades de Microsoft Dynamics GP es un RCE (CVE-2022-23274), tres son EoPs (CVE-2022-23271, CVE-2022-23272, CVE-2022-23273) y la última es una vulnerabilidad de suplantación de identidad (CVE -2022-23269).

Microsoft Dynamics 365 también se ve afectado por un RCE (CVE-2022-21957), pero es importante tener en cuenta que esto solo afecta la versión local del producto.

La lista completa de vulnerabilidades que afectan a Microsoft Dynamics se enumera a continuación.

1. CVE-2022-21957 VMicrosoft Dynamics 365 (local) Ejecución remota de código
2. CVE-2022-23269 Microsoft Dynamics GP Suplantación de identidad
3. CVE-2022-23271 Microsoft Dynamics GP Elevación de privilegios
4. CVE-2022-23272 Microsoft Dynamics GP Elevación de privilegios
5. CVE-2022-23273 Microsoft Dynamics GP Elevación de privilegios
6. CVE-2022-23274 Microsoft Dynamics GP Ejecución remota de código

Microsoft Edge

Hay cuatro vulnerabilidades que afectan a Microsoft Edge basado en Chromium. Dos EoP calificadas como “Importantes” (CVE-2022-23262 y CVE-2022-23263), una vulnerabilidad de manipulación calificada como “Moderada” y una vulnerabilidad de suplantación de identidad calificada como “Baja”.

Además de estas vulnerabilidades que afectan específicamente a Edge, Microsoft también publicó correcciones a una variedad de CVE que afectan al motor Chromium subyacente. La compañía dice que “no se requiere ninguna acción” para abordar los 19 errores (CVE-2021-0452 a CVE-2021-0470) afectados. Entre estos y los 51 errores específicos de los parches de Microsoft, estos elevan el número total de correcciones en febrero a 70.

La lista completa de vulnerabilidades que afectan a Microsoft Edge se enumera a continuación.

1. CVE-2022-23261 Microsoft Edge Tampering
2. CVE-2022-23262 Microsoft Edge Elevación de privilegios
3. CVE-2022-23263 Microsoft Edge Elevación de privilegios
4. CVE-2022-23264 Microsoft Edge Suplantación de identidad

Microsoft Visual Studio

Dos vulnerabilidades afectan a Microsoft Visual Studio: una RCE (CVE-2022-21991) y una DoS (CVE-2022-21986) de las que hablamos antes.

La lista completa de vulnerabilidades que afectan a Visual Studio se enumera a continuación.

1. CVE-2022-21991 Visual Studio Code Ejecución remota de código
2. CVE-2022-21986 Kestrel Web Server Denegación de servicio

Otros productos

Los otros productos se ven afectados por EoP e incluyen Azure Data Explorer (CVE-2022-23256), Microsoft Power BI (CVE-2022-23254) y SQL Server 2019 para contenedores de Linux (CVE-2022-23276).

La lista completa de vulnerabilidades que afectan a otros productos se enumera a continuación.

1. CVE-2022-23256 Azure Data Explorer Elevación de privilegios
2. CVE-2022-23254 Microsoft Power BI Elevación de privilegios
3. CVE-2022-23276 SQL Server para contenedores de Linux Elevación de privilegios

Índices de explotabilidad

A continuación se encuentran los índices de explotación para los parches de este mes, en el momento de su publicación.

Explotación más probable para las últimas versiones

CVE-2022-21981 Vulnerabilidad de elevación de privilegios del controlador de Windows Common Log File System

CVE-2022-21994 Vulnerabilidad de elevación de privilegios de Windows DWM Core Library

CVE-2022-21996 Vulnerabilidad de elevación de privilegios en Win32k

CVE-2022-21999 Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows

CVE-2022-22000 Vulnerabilidad de elevación de privilegios del controlador de Windows Common Log File System

CVE-2022-22005 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Server

CVE-2022-22715 Vulnerabilidad de elevación de privilegios de Pipe File System

CVE-2022-22718 Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows

CVE-2022-21989 Vulnerabilidad de elevación de privilegios del kernel de Windows

Explotación más probable para versiones antiguas

CVE-2022-21981 Vulnerabilidad de elevación de privilegios del controlador de Windows Common Log File System

CVE-2022-21994 Vulnerabilidad de elevación de privilegios de Windows DWM Core Library

CVE-2022-21999 Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows

CVE-2022-22000 Vulnerabilidad de elevación de privilegios del controlador de Windows Common Log File System

CVE-2022-22005 Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Server

CVE-2022-22715 Vulnerabilidad de elevación de privilegios de Named Pipe File System

CVE-2022-22718 Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows

CVE-2022-21989 Vulnerabilidad de elevación de privilegios del kernel de Windows

Protección de Sophos

CVE SAV
CVE-2022-21989 Exp/2221989-A
CVE-2022-21996 Exp/2221996-A
CVE-2022-22715 Exp/2222715-A

Como puedes hacer todos los meses, si no deseas esperar a que tu sistema despliegue las actualizaciones por sí mismo, puedes descargarlas manualmente desde la web de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando, luego descarga el paquete de actualización acumulativa para la arquitectura de tu sistema en particular y el número de compilación.

Dejar un comentario

Your email address will not be published.