Microsoft ha emitido parches para abordar un total de 48 vulnerabilidades en su actualización mensual del martes de parches, incluido un día cero solitario que aún no se ha explotado en la naturaleza. La actualización de febrero es una de las más ligeras vistas desde el verano de 2021, pero esto no es necesariamente fuera de lo común dado que sigue a una fuerte caída de enero.
Aun así, es quizás más notable por no ser tan grave como de costumbre, como señaló el arquitecto senior de seguridad de Recorded Future, Allan Liska. “No se informaron vulnerabilidades que Microsoft haya visto explotadas en la naturaleza, y en una declaración inusual para el martes de parches, ninguna de las vulnerabilidades reveladas este mes ha sido calificada como crítica por Microsoft”, dijo.
“Quizás lo más importante es que las nuevas actualizaciones acumulativas para este mes deberían aliviar la frustración de los equipos que aún posponen las actualizaciones de enero debido a múltiples complicaciones”, dijo Lewis Pope, jefe de seguridad en N-able. “Las nuevas CU deberían ayudar a los equipos a ponerse al día y volver a cumplir con sus controles de administración de parches”.
Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dijo: “El lanzamiento del parche de enero puede haber dejado a algunos equipos de TI sintiéndose algo amargados ya que Microsoft tuvo que volver a publicar actualizaciones para solucionar algunos problemas inesperados causados por las actualizaciones. Esto no debe usarse como una excusa para saltarse las actualizaciones, pero refuerza la importancia de probar los parches en un entorno de prueba o usar una implementación escalonada, y por qué el monitoreo de cualquier impacto adverso siempre debe ser un paso clave en su política de parches”.
El día cero revelado se rastrea como CVE-2022-21989 y es una vulnerabilidad de elevación de privilegios en el kernel de Windows que afecta a Windows 7 a 11 y Windows Server 2008 a 2022. Tiene una calificación CVSS de 7.8 y no se considera particularmente fácil de explotar.
El ingeniero de investigación del personal de Tenable, Satnam Narang, explicó: “La complejidad de explotar [this] la vulnerabilidad es alta debido al trabajo preliminar adicional que se requiere para preparar el objetivo: un atacante a menudo aprovecha este tipo de vulnerabilidad una vez que ya ha comprometido el objetivo”.
Sin embargo, a pesar de la calificación más baja de lo habitual para un día cero divulgado públicamente, es muy probable que se explote en poco tiempo, como explicó el vicepresidente de gestión de productos de Ivanti, Chris Goettl: “La madurez del código de explotación está en la prueba de -concepto; esto significa que gran parte del trabajo de investigación inicial para un exploit armado ya se ha realizado, y los detalles podrían estar disponibles públicamente para los actores de amenazas”.
Algunas de las otras vulnerabilidades más notables de este mes incluyen CVE-2022-21984, una vulnerabilidad de ejecución remota de código en Windows DNS Server que afecta a Windows 10 y 11, y Server 2022, pero solo si tienen habilitadas las actualizaciones dinámicas; y CVE-2022-22005, una vulnerabilidad de ejecución remota de código en Sharepoint Server que afecta a las versiones 2013-19 y Subscription Edition, que requiere que un actor malintencionado se autentique en su sistema de destino para ser explotado.
También hay cuatro nuevas vulnerabilidades de escalada de privilegios en Windows Print Spooler, una de ellas acreditada al mismo equipo chino que descubrió la pesadilla de PrintNightmare el año pasado. Estos deben priorizarse ya que la naturaleza de alto perfil de PrintNightmare continúa atrayendo la atención de piratas informáticos éticos y maliciosos.
Breen de Immersive Labs observó: “¿Es realmente el martes de parches si no hablamos de una vulnerabilidad en los componentes de cola de impresión de Windows? Este mes ve cuatro nuevos CVE relacionados con este componente fuertemente explotado: CVE-2022-21999, CVE-2022-22718, CVE-2022-21997 y CVE-2022-22717.
“Todos están listados como elevación de privilegios, lo que forma una parte clave de la cadena de ataque. Una vez que se haya obtenido el acceso inicial, los atacantes buscarán rápidamente obtener acceso de nivel de administrador para poder moverse a través de la red, comprometer otros dispositivos y evitar la detección al deshabilitar las herramientas de seguridad”.