Microsoft ha promovido soluciones para un total de 66 vulnerabilidades y exposiciones comunes (CVE), tres críticas y una de gravedad moderada, así como el CVE-2021-40444 de día cero previamente revelado, en su actualización del martes de parches de septiembre de 2021.
CVE-2021-40444 es una vulnerabilidad de ejecución remota de código en Microsoft MSHTML, un componente utilizado en Internet Explorer y Office, y una solución para solucionarlo estuvo disponible la semana pasada.
Christopher Hass, director de investigación y seguridad de la información en Automox, describió CVE-2021-40444 como una vulnerabilidad particularmente desagradable y recomendó que los equipos de seguridad prioricen la remediación.
“Microsoft observó ataques dirigidos en la naturaleza que explotaban esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados”, dijo. “Más tarde se descubrió que los documentos de texto enriquecido también podrían usarse para entregar cargas útiles maliciosas.
“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office o un archivo de texto enriquecido que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
“Debido a que los atacantes ya están utilizando esta vulnerabilidad, y hay una prueba de concepto pública disponible, los defensores deben corregir esta vulnerabilidad lo antes posible”.
John Hammond, investigador sénior de seguridad de Huntress, dijo que la corrección para CVE-2021-40444 parecía, en el análisis, ser efectiva.
“En la versión RTF del exploit CVE-2021-40444, el archivo CAB malicioso que se usa para preparar la ejecución del código no se descarga y la explotación falla”, dijo. “Esto también evita el vector de ataque presente en el modo de vista previa del Explorador de archivos de Windows.
“En la versión DOCX del exploit, parece que el archivo CAB se descarga, pero el código no se ejecuta y el exploit aún falla. Todavía estamos analizando las cosas más a fondo y compartiremos actualizaciones a medida que las encontremos. Seguimos alentando a las organizaciones a que apliquen este parche lo antes posible “.
Los tres CVE críticos parcheados este mes son: CVE-2021-26435, una vulnerabilidad de RCE en Windows Scripting Engine; CVE-2021-36956, una vulnerabilidad RCE en Windows WLAN AutoConfig Service que afecta a las versiones de Windows 7, 8 y 10, y Windows Server; y CVE-2021-38647, otra vulnerabilidad de RCE en la pila de Infraestructura de administración abierta (OMI).
De estas tres vulnerabilidades, CVE-2021-26435 requiere que un usuario sea engañado para que abra un archivo especialmente diseñado, por lo que la explotación es marginalmente menos probable; CVE-2021-36965 requiere que un dispositivo de destino esté en una red compartida, o que un atacante ya tenga un punto de apoyo en la red de destino, pero es muy peligroso en esas circunstancias; y CVE-2021-38657 se considera relativamente trivial de explotar. Se debe priorizar la aplicación de parches a los tres en las próximas 48-72 horas, porque probablemente ha comenzado el armamentismo.
También es de destacar en la caída de este mes una serie de correcciones para vulnerabilidades en Windows Print Spooler, que se convirtió en un tema candente en julio después de la divulgación fallida de una vulnerabilidad de RCE, denominada PrintNightmare. Las vulnerabilidades de Print Spooler son muy valiosas para los actores malintencionados porque el servicio nativo integrado está habilitado de forma predeterminada en las máquinas con Windows para administrar impresoras y servidores de impresión y, como tal, prevalece en todos los estados de TI de la empresa.
Las tres vulnerabilidades de Print Spooler parcheadas este mes son CVE-2021-38667, CVE-2021-38671 y CVE-2021-40447. Los tres son vulnerabilidades de elevación de privilegios.
“Durante los últimos meses, hemos visto un flujo constante de parches para fallas en Windows Print Spooler luego de la divulgación de PrintNightmare en julio”, dijo el ingeniero de investigación de personal de Tenable Satnam Narang. “Los investigadores continúan descubriendo formas de explotar Print Spooler y esperamos que se continúe investigando en esta área.
“Sólo uno [CVE-2021-38671] de las tres vulnerabilidades se clasifica como explotación más probable. Las organizaciones también deben priorizar la corrección de estas fallas, ya que son extremadamente valiosas para los atacantes en escenarios posteriores a la explotación “.
Como de costumbre, el último parche de Redmond aborda muchas otras vulnerabilidades que abarcan toda la gama de productos de la familia de Microsoft, pero también es de destacar que se parchearon varios CVE en el navegador Edge basado en Chromium de Microsoft a principios de mes, lo que eleva el total de septiembre a más de 80.
Kevin Breen, director de investigación de amenazas cibernéticas de Immersive Labs, dijo: “En este ciclo, hemos visto 25 vulnerabilidades que han sido reparadas en Chrome y transferidas a Edge basado en Chromium de Microsoft.
“No puedo subestimar la importancia de parchear sus navegadores y mantenerlos actualizados. Después de todo, los navegadores son la forma en que interactuamos con Internet y los servicios basados en la web que contienen todo tipo de información altamente confidencial, valiosa y privada. Ya sea que esté pensando en su banca en línea o en los datos recopilados y almacenados por las aplicaciones web de su organización, todos podrían verse expuestos a ataques que exploten el navegador “.