Microsoft completó 2022 con un martes de parches típicamente ligero para diciembre, con un total de 52 parches que abordan seis vulnerabilidades críticas y dos días cero de menor gravedad.
Los dos errores de día cero se rastrean como CVE-2022-44698, una vulnerabilidad de omisión de función de seguridad en Windows SmartScreen, que tiene una puntuación CVSS de 5,4 y tiene una gravedad moderada; y CVE-2022-44710, una vulnerabilidad de elevación de privilegios (EoP) en DirectX Graphics Kernel, que tiene una puntuación CVSS de 7,8 y tiene una gravedad importante.
De estos, se sabe que la vulnerabilidad de Windows SmartScreen se explota en la naturaleza, pero no se ha revelado públicamente anteriormente, mientras que ocurre lo contrario con la vulnerabilidad del núcleo de gráficos DirectX.
Al evaluar el impacto de los dos días cero, Satnam Narang, ingeniero senior de investigación del personal de Tenable, dijo: “Windows SmartScreen [is] una función integrada en Windows que funciona con su funcionalidad Mark of the Web (MOTW) que marca los archivos descargados de Internet. Dependiendo de cómo MOTW marque un archivo, SmartScreen realizará una verificación de reputación.
“Esta vulnerabilidad se puede explotar en múltiples escenarios, incluso a través de sitios web maliciosos y archivos adjuntos maliciosos enviados por correo electrónico o servicios de mensajería. Requieren que una víctima potencial visite el sitio web malicioso o abra un archivo adjunto malicioso para evitar SmartScreen.
“Microsoft confirmó que esta vulnerabilidad ha sido explotada en la naturaleza. Esta falla se atribuyó al investigador de seguridad Will Dormann, a quien se le atribuyó la revelación de CVE-2022-41049, una omisión de función de seguridad en MOTW en el lanzamiento del martes de parches de noviembre.
“El segundo día cero en el lanzamiento del martes de parches de diciembre … se reveló públicamente antes de que un parche estuviera disponible. Se considera que es una falla que tiene menos probabilidades de ser explotada según el Índice de Explotación de Microsoft”, agregó.
Las seis vulnerabilidades críticas conducen a la ejecución remota de código (RCE) en el sistema de la víctima si se explotan con éxito. Están:
Al comentar sobre algunas de las vulnerabilidades críticas más impactantes, Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dijo que la vulnerabilidad de PowerShell en particular parecía problemática.
“Si bien Microsoft no comparte muchos detalles sobre esta vulnerabilidad fuera de la ‘explotación más probable’, aparece como ejecución remota de código, y también señalan que la explotación exitosa requiere que un atacante tome medidas adicionales para preparar el entorno de destino”, dijo. Breen.
“No está claro qué acciones se requieren; sin embargo, sabemos que la explotación requiere un nivel de acceso de usuario autenticado. Esta combinación sugiere que el exploit requiere un elemento de ingeniería social y probablemente se vería en infecciones iniciales usando ataques como MalDocs o archivos LNK”, agregó.
“Los ataques de ingeniería social se ven comúnmente dirigidos a empleados en todos los niveles de una organización. Si bien es cierto que algunos usuarios pueden ser un eslabón débil en la ciberseguridad, también son la primera línea de defensa. Es importante mejorar las habilidades de la fuerza laboral, para que tengan las capacidades y el juicio para evitar este tipo de ataques”.
Breen también marcó las dos vulnerabilidades de SharePoint Server como prioridades, y dijo que tales errores deberían ocupar un lugar destacado en la lista para cualquiera que use SharePoint internamente.
“Esta vulnerabilidad podría afectar a las organizaciones que usan SharePoint para wikis internas o almacenes de documentos. Los atacantes pueden explotar [it] para robar información confidencial para usar en ataques de ransomware, reemplazar documentos con nuevas versiones que contienen código malicioso o crear macros para afectar otros sistemas”, dijo.
Por supuesto, una actualización del martes de parches de 2022 no sería una actualización del martes de parches de 2022 sin una solución para una vulnerabilidad en Windows Print Spooler, y Microsoft complació en diciembre con CVE-2022-44678, una vulnerabilidad de EoP que sería explotada para dar una privilegios del sistema atacante, pero sólo localmente.
“Windows Print Manager ha sido un objetivo para los atacantes desde que se expuso PrintNightmare hace más de un año”, dijo Mike Walters, vicepresidente de investigación de amenazas y vulnerabilidades en Action1.
“Hemos encontrado vulnerabilidades de este tipo casi todos los meses después de eso. Del mismo modo, es probable que esta avalancha de parches continúe después de CVE-2022-44678.
“Los equipos de TI deberían tomar muy en serio el riesgo de las vulnerabilidades en Print Spooler porque Windows Print Manager aparentemente tiene muchas fallas. Por lo tanto, si no lo usa, desactívelo, incluso si tiene instalados todos los parches más recientes. Los atacantes seguirán cavando este agujero de conejo una y otra vez”, dijo.