Microsoft ha publicado correcciones para seis vulnerabilidades de día cero divulgadas públicamente en su primera actualización mensual del martes de parches de 2022, una de ellas calificada como crítica, pero ninguna aún se está explotando activamente.
El único día cero crítico se rastrea como CVE-2021-22947 y es una vulnerabilidad de ejecución remota de código (RCE) en Open Source Curl, una biblioteca y una herramienta de línea de comandos utilizada para transferir datos a través de varios protocolos de red. Está presente en Windows 10, Server 2019 y versiones posteriores.
“Un atacante podría llevar a cabo un ataque man-in-the-middle explotando cómo Curl maneja las respuestas almacenadas en caché o canalizadas de los servidores IMAP, POP3, SMTP o FTP”, dijo Maarten Buis de Automox.
“El atacante inyectaría la respuesta falsa, luego pasaría el tráfico TLS desde el servidor legítimo y engañaría a Curl para que envíe los datos del atacante al usuario como válidos y autenticados.
“Automox recomienda implementar esta actualización rápidamente debido a la divulgación pública. Esta divulgación aumenta significativamente las posibilidades de que los actores de amenazas exploten esta falla”.
Los otros cinco días cero son CVE-2021-36976, una vulnerabilidad RCE en Libarchive; CVE-2022-21836, una vulnerabilidad de falsificación de certificados de Windows; CVE-2022-21839, una falla de denegación de servicio en la Lista de control de acceso discrecional de Windows Event Tracing; CVE-2022-21874, una vulnerabilidad RCE en la API del Centro de seguridad de Windows; y CVE-2022-21919, una vulnerabilidad de escalada de privilegios en el Servicio de perfil de usuario de Windows.
La actualización de enero de 2022 de Redmond contiene un total de 96 correcciones, nueve de ellas clasificadas como críticas, 88 como importantes y, con la adición de más errores corregidos en Microsoft Edge, esto eleva el total mensual a más de 120, una “actualización inusualmente grande para enero”. ”, según Dustin Childs de Zero Day Initiative.
En su revisión mensual del martes de parches, Childs señaló varios otros CVE que merecen atención, en particular CVE-2022-21907, una vulnerabilidad RCE en la pila de protocolo HTTP (http.sys). Está presente en Windows 10 y 11, Server 2019 y Server 2022, y ha recibido una calificación CVSS crítica de 9,8.
Childs dijo que este error se puede explotar enviando paquetes especialmente diseñados a un sistema que usa http.sys para procesarlos. No requiere interacción del usuario ni privilegios adicionales y, por lo tanto, es compatible con gusanos.
También instó a los defensores a atender CVE-2022-21846, una vulnerabilidad RCE en Exchange Server; CVE-2021-21840, un RCE en Microsoft Office; y CVE-2022-21857, una vulnerabilidad de escalada de privilegios en los servicios de dominio de Active Directory.
La caída de enero se produce en medio de las continuas consecuencias de Log4Shell, que continúa ejerciendo presión sobre los defensores más de un mes después de su divulgación. Bharat Jogi, director de investigación de vulnerabilidades y amenazas en Qualys, describió la situación actual como “caos” ya que los profesionales de seguridad trabajan horas extra para protegerse contra la explotación de Log4Shell.
“Los eventos impredecibles como Log4Shell agregan un estrés significativo a los profesionales de la seguridad que se ocupan de tales brotes. – y poner en primer plano la importancia de tener un inventario automatizado de todo lo que utiliza una organización en su entorno”, dijo Jogi.
“Es la necesidad del momento automatizar la implementación de parches para eventos con horarios definidos, por ejemplo parche martes, para que los profesionales de seguridad puedan concentrar su energía para responder de manera eficiente a eventos impredecibles que representan un riesgo cobarde para la corona de una organización joyas.”
Además de Log4Shell, también se eliminaron otras actualizaciones clave de Adobe, que corrigió 44 CVE, 22 calificadas como críticas; Mozilla, que arregló 18 CVE, nueve calificados como críticos; y SAP, que corrigió 35 CVE, 20 críticos, y todos ellos vinculados a Log4Shell. La próxima semana llegará una nueva ronda de actualizaciones de Oracle.