Una excelente actualización del martes de parches de julio de Microsoft ha marcado una especie de regreso a los viejos tiempos de 2020, abordando 117 vulnerabilidades, 13 de ellas calificadas como críticas y cuatro que ya están siendo explotadas en la naturaleza por actores maliciosos.
Al evaluar la escala de la caída del parche, el gerente senior de marketing de productos de Automox, Justin Knapp, dijo: “Julio representa un cambio dramático con respecto a los lanzamientos relativamente ligeros que hemos presenciado en meses anteriores y destaca un aumento en las vulnerabilidades de día cero y la urgencia necesaria para mantener el ritmo. con una lista creciente de amenazas.
“El reciente aumento de los ataques a la cadena de suministro ha alertado a todos y refuerza la necesidad de ser extremadamente diligentes cuando se trata de las mejores prácticas en torno a la aplicación de parches y la evaluación de riesgos para garantizar una exposición mínima”.
Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs, agregó: “Como siempre, siempre que sea posible, parchee rápidamente y priorice todo lo que se explote activamente. Sin embargo, el parcheo es obviamente específico para cada entorno, por lo que este consejo debe adaptarse para garantizar que se mantengan los sistemas críticos para el negocio. Idealmente, los parches deberían probarse en servidores que no son de producción antes de implementarse ampliamente “.
Los cuatro errores explotados activamente contra los que los defensores deberían priorizar la corrección son:
- CVE-2021-34448, una vulnerabilidad de corrupción de memoria en Scripting Engine, que le da a un atacante la oportunidad de ejecutar código en un sistema de destino si puede convencer al usuario de que visite un sitio web especialmente diseñado. Descrito por Breen como “elegante en su simplicidad”, este error es trivial de explotar porque es muy fácil crear dominios de apariencia profesional que lleven certificados TLS válidos que son, de hecho, maliciosos.
- CVE-2021-33771, una vulnerabilidad de elevación de privilegios (EoP) en el kernel de Windows que afecta a Windows 8.1, Server 2012 R2 y versiones posteriores de Windows.
- CVE-2021-31979, otra vulnerabilidad EoP en el kernel de Windows que afecta a Windows 7, Server 2008 y versiones posteriores de Windows. Breen señaló que debido a que ambas vulnerabilidades del Kernel permiten a los atacantes obtener un mayor control sobre sus entornos de destino, inevitablemente atraerían el interés de los operadores de ransomware.
- CVE-2021-34527, también conocido como PrintNightmare, que ya ha sido objeto de un parche fuera de secuencia, una vulnerabilidad de ejecución remota de código (RCE) en Windows Print Spooler. Según Microsoft, la última versión de este parche en particular debería solucionar los problemas planteados anteriormente.
Otras vulnerabilidades importantes de este mes incluyen CVE-2021-33779, una función de seguridad que se omite en la seguridad ADFS de Windows; CVE-2021-33781, una función de seguridad que se omite en Active Directory; CVE-2021-34492, una vulnerabilidad de suplantación de certificados en el sistema operativo Windows; CVE-2021-34473, una vulnerabilidad RCE en Microsoft Exchange Server; y CVE-2021-34523, otra vulnerabilidad EoP en Microsoft Exchange Server.
La Zero Day Initiative también señaló en particular CVE-2021-34458, una vulnerabilidad RCE en el kernel de Windows, una ocurrencia inusual y algo que merece mucha atención, y CVE-2021-34494, una vulnerabilidad RCE en Windows DNS Server.
Chris Goettl de Ivanti dijo que a medida que los equipos de seguridad buscan comenzar a trabajar en la aplicación de los parches, es importante considerar algo más que cuán severos los ha calificado Microsoft y qué puntaje de CVSS se les ha asignado.
“Si no tiene métricas adicionales para determinar el riesgo, es muy posible que se esté perdiendo algunas de las actualizaciones más impactantes”, dijo.
“Un buen ejemplo de cómo los algoritmos de los proveedores utilizados para definir la gravedad pueden dar un poco de falsa sensación de seguridad se puede encontrar en la lista de días cero de este mes. Dos de los CVE solo están calificados por Microsoft como Importantes, sin embargo, estaban siendo explotados activamente antes de que se lanzara la actualización. La puntuación CVSSv3 para el CVE crítico es en realidad más baja que los dos CVE importantes “.
Goettl agregó: “Según analistas como Gartner, la adopción de un enfoque basado en el riesgo para la gestión de vulnerabilidades puede reducir la cantidad de incidentes de filtración de datos cada año hasta en un 80%”.