Microsoft lanzó su actualización mensual del martes de parches según su calendario el 14 de noviembre, y con los equipos de seguridad aún evaluando las consecuencias de la vulnerabilidad Log4Shell Apache Log4j (CVE-2021-44228), probablemente la divulgación de seguridad más impactante desde Heartbleed, los defensores son bajo una presión cada vez mayor y riesgo de quemarse.
La actualización de diciembre de Microsoft incluyó correcciones para 67 vulnerabilidades y exposiciones comunes únicas (CVE), siete de ellas calificadas como críticas, seis ya se están explotando activamente, incluido un día cero que se está utilizando para difundir el Emotet recientemente revitalizado.
Pero como en las últimas 24 horas también se vieron caídas de parches de Adobe, Apple, Cisco, Google Chrome, SAP y VMware, Calvin Gan de la Unidad de Defensa Táctica de F-Secure dijo que existía un riesgo claro de que los equipos de seguridad ahora se estén abrumando.
“Los defensores están luchando contra el tiempo para parchear los sistemas afectados, lo que no es tan directo como simplemente actualizar, al mismo tiempo que se defienden de los intentos de explotación que han aumentado en los últimos días ”, dijo Gan.
“La facilidad de ejecutar [Log4j] exploit significó que el tiempo para parchear ha sido significativamente más corto, combinado con los diferentes intentos de escaneo masivo en Internet por parte de varias entidades, lo que hace que sea mucho más difícil para los defensores revisar los registros e identificar posibles infracciones.
“Si bien actualmente se desconoce el impacto total, se prevé que las organizaciones tendrían que emplear todos los recursos disponibles y trabajar horas extra para mitigar esta vulnerabilidad, mientras bloquean posibles ataques”.
Chris Goettl de Ivanti agregó: “Espere que se preste mucha atención a los proveedores que luchan por resolver los problemas relacionados con Log4j, pero dicho esto, no pierda de vista las actualizaciones de parches adicionales de Microsoft.
“Continúan los esfuerzos para identificar, mitigar o remediar la vulnerabilidad de Apache Log4j. En este caso, está dejando a muchos equipos frustrados, sin saber exactamente qué deben hacer. La mejor guía es seguir confiando en sus procesos de DevSecOps y el escaneo de vulnerabilidades, y complementar esto con una acción más directa, ya que probablemente habrá brechas durante algún tiempo en la detección “.
Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dijo: “Espero que muchos equipos de seguridad inviertan mucho en una resolución Log4j, pero eso no impide que el mundo cambie. Como siempre, usted conoce sus riesgos y su patrimonio, por lo que debe tomar decisiones sobre parches y actualizaciones en consecuencia. Tome un respiro, mire el lanzamiento de Microsoft y priorice o despriorice en consecuencia “.
De los 67 CVE de Microsoft, probablemente el más digno de atención inmediata es CVE-2021-43890. Este es el día cero mencionado anteriormente, una vulnerabilidad de suplantación de identidad en Windows AppX Installer que, según Microsoft, se ha utilizado para propagar malware en la familia Emotet / Trickbot / Bazarloader.
Dustin Childs de Zero Day Initiative explicó: “Un atacante necesitaría crear un archivo adjunto malicioso para usarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Parece que la ejecución del código se produciría en el nivel del usuario que inició sesión, por lo que los atacantes probablemente combinarían esto con otro error para tomar el control de un sistema “.
También atrae la atención este mes CVE-2021-43883, una vulnerabilidad de elevación de privilegios en Windows Installer, que es algo inusual ya que parece ser una solución para eludir un error que ya se solucionó en noviembre: CVE-2021 -41379. Caitlin Condon, gerente de ingeniería de Rapid7, explicó: “Si bien no hay ninguna indicación en el aviso de que las dos vulnerabilidades estén relacionadas, CVE-2021-43883 se parece mucho a la solución para una vulnerabilidad de día cero que causó sensación en la comunidad de seguridad el mes pasado después de que se lanzara el código de explotación de prueba de concepto y comenzaran los ataques en la naturaleza.
“La vulnerabilidad de día cero, que según la hipótesis de los investigadores era una omisión de parche para CVE-2021-41379, permitió a los atacantes con pocos privilegios sobrescribir archivos protegidos y escalar a SYSTEM. El equipo de investigación de vulnerabilidades de Rapid7 realizó un análisis completo de la causa raíz del error a medida que aumentaron los ataques en noviembre “.
Las otras vulnerabilidades críticas en la actualización de Microsoft son todas vulnerabilidades de ejecución remota de código (RCE). Estos son CVE-2021-42310 en Microsoft Defender para IoT, CVE-2021-43215 en iSNS Server, CVE-2021-43217 en Windows Encrypting File System, CVE-2021-43233 en Remote Desktop Client, CVE-2021-43899 en Microsoft Adaptador de pantalla inalámbrico 4K, CVE-2021-43905 en la aplicación Microsoft Office y CVE-2021-43907 en Visual Studio Code WSL Extension.