Microsoft publicó el martes parches para 83 vulnerabilidades en seis familias de productos de Microsoft. Esto incluye 15 problemas de clase crítica que afectan a Azure, Office, SharePoint y Windows. Una vez más, la mayoría de los CVE afectan a Windows; el sistema operativo se lleva la mayor parte con 68, seguido de cinco para Office y cuatro para SharePoint. Los administradores de Azure tienen un poco de respiro este mes con sólo tres parches para esa plataforma (incluyendo uno para Service Fabric), y Visual Studio y .NET juntos representan otros tres.
Una vulnerabilidad (CVE-2022-41043), un fallo de divulgación de información en Office, se ha hecho pública. Otra (CVE-2022-41033), un fallo de elevación de privilegios en el servicio COM+ Event System, ha sido explotada. Según Microsoft, el resto de los problemas no se han revelado ni explotado. Destacan por su ausencia las dos vulnerabilidades de alto perfil de Exchange Server (CVE-2022-41040, CVE-2022-41082), que fueron noticia la semana pasada. Desde la revelación pública de los dos problemas, Microsoft ha emitido varias rondas de mitigación y orientación para lo que parece ser una variante cercana del legendario ataque ProxyShell.
En otra parte de la publicación, una inusual vulnerabilidad de suplantación de clase crítica (CVE-2022-34689) parece haber sido revelada a Microsoft por dos fuentes un tanto inusuales: el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y la Agencia Nacional de Seguridad de los Estados Unidos (NSA). La explotación de este fallo se describe como más probable, y es algo bastante emocionante: según Microsoft, un atacante podría manipular un certificado público x.509 existente para falsificar su identificación y realizar acciones como la autenticación o la firma de código como el certificado objetivo.
En cifras
- Total de CVE de Microsoft: 83
- Total de avisos enviados en la actualización: 0
- Divulgados públicamente: 1
- Explotación detectada: 1
- Explotación más probable en la última versión: 13
- Explotación más probable en versiones anteriores: 14
- Gravedad
- Crítico: 15
- Importante: 68
- Moderado: 0
- Baja: 0
- Impacto
- Elevación de privilegios: 37
- Ejecución remota de código: 21
- Revelación de información: 10
- Negación de servicio: 8
- Suplantación de identidad: 4
- Anulación de funciones de seguridad: 3
- Productos:
- Microsoft Windows: 68
- Microsoft Office: 5
- SharePoint: 4
- Azure (incluyendo Service Fabric): 3
- Visual Studio: 2
- .NET 1
Vulnerabilidades notables
No está presente: Exchange
Los administradores de sistemas deben seguir vigilando las comunicaciones de Microsoft para conocer los cambios y actualizaciones relativos a las dos vulnerabilidades activas de Exchange Server. Sophos seguirá añadiendo protecciones a medida que estén disponibles.
CVE-2022-22035, CVE-2022-24504, CVE-2022-30198, CVE-2022-33634, CVE-2022-38000, CVE-2022-38047, CVE-2022-41081: vulnerabilidades de ejecución remota de código en el protocolo de túnel punto a punto de Windows
Una colección de no menos de siete fallos críticos de ejecución remota de código en el protocolo punto a punto de Windows (PPTP). Microsoft evalúa que todos ellos son menos probables de ser explotados, y no parece haber ninguna explotación en el momento de la publicación. Según la métrica CVSS, la complejidad del ataque es alta; un atacante tendría que elaborar un paquete PPTP malicioso, enviarlo a un servidor PPTP y ganar una condición de carrera para obtener la ejecución remota de código.
CVE-2022-38048, CVE-2022-38049, CVE-2022-41031: vulnerabilidades de ejecución remota de código en Office/Word
Este mes se han detectado varias vulnerabilidades críticas en Office, que podrían conducir a la ejecución remota de código si se explotan con éxito. Vale la pena señalar que con estos tres fallos, el vector de ataque en sí es local, y se requiere la interacción del usuario. Un atacante tendría que crear un archivo diseñado para explotar la vulnerabilidad y enviarlo a una víctima, por lo que probablemente también habría un elemento de ingeniería social. Aunque los fallos se califican de críticos, hay algunas ventajas: Microsoft evalúa la explotación como menos probable tanto en las versiones más antiguas como en las más recientes del producto, y el panel de vista previa no es un vector de ataque.
CVE-2022-37987 y CVE-2022-37989: vulnerabilidades de elevación de privilegios en el subsistema de ejecución del servidor cliente de Windows (CSRSS)
Existen un par de vulnerabilidades importantes de elevación de privilegios en el subsistema de tiempo de ejecución del servidor cliente de Windows (CSRSS), ambas calificadas como más probables de ser explotadas tanto en las versiones más antiguas como en las más recientes y que podrían dar lugar a que un atacante obtuviera privilegios de SISTEMA. Al igual que con la mayoría de los fallos de este mes, no hay pruebas de que hayan sido explotados o divulgados públicamente.
CVE-2022-38022: Vulnerabilidad de Elevación de Privilegios en el Kernel de Windows
Esta vulnerabilidad, que tiene un CVSS muy bajo (3,1), es interesante no porque lo que hace sea tan específico (según Microsoft, la capacidad de eliminar una carpeta vacía en un sistema de archivos), sino porque recuerda que en un mundo de ataques encadenados, un pequeño fallo como éste debe ser parcheado porque puede formar parte de una secuencia de ataque mayor.
Protecciones de Sophos
| CVE | Sophos Intercept X / Endpoint IPS | Sophos XGS Firewall |
| CVE-2022-37970 | Exp/2237970-A | |
| CVE-2022-37974 | 2307767 | 2307767 |
| CVE-2022-37989 | Exp/2237989-A | |
| CVE-2022-38050 | Exp/2238050-A | |
| CVE-2022-38053 | 2307762 | 2307762 |
(Por cierto, ¿te has preguntado alguna vez por los nombres de los comportamientos? Las convenciones de nomenclatura de Sophos coinciden con el marco MITRE ATT&CK. Los detalles están disponibles en otra parte de nuestro sitio)
Como todos los meses, si no quieres esperar a que tu sistema saque las actualizaciones por sí mismo, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecute la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación de tu sistema.