Es el segundo martes del mes y por lo tanto tenemos las últimas actualizaciones de Microsoft y Adobe con el análisis de las vulnerabilidades realizado por el Zero Day Initiative.
Con un total de 56 vulnerabilidades de Microsoft, nuevamente es publicado un parche para Windows Defender y parches para resolución en Azure IoT, Azure Kubernates Service, .NET Framework. Para el caso de Adobe, se evidencia un total de 50 vulnerabilidades con parches para cubrir fallas en Adobe Dreamweaver, Illustrator, Magento, Photoshop y Reader.
Hallazgos en Microsoft
De los 56 CVE o vulnerabilidades, los parches cubren componentes de Microsoft Windows, .NET Framework, Azure IoT, Azure Kubernetes Service, Microsoft Edge para Android, Exchange Server, Office y Office Services, Web Apps, Skype for Business y Lync, y Windows Defender tiene un nuevo parche. Siete de estos CVE se enviaron a través del programa ZDI y 11 están clasificados como críticos.
Según lo indicado por Microsoft, se sabe que ya existe la forma de explotar una de estas vulnerabilidades por lo que es importante implementar acciones rápidas de protección. Algo que llama la atención del equipo de investigación es que este grupo de actualizaciones contiene una alta cantidad de vulnerabilidades conocidas públicamente, por lo que pueden estar actualmente bajo ataque, pero hasta ahora Microsoft no ha proporcionado información sobre donde se expusieron dichas vulnerabilidades o CVE.
A continuación, las actualizaciones más interesantes del mes:
1. Vulnerabilidad de elevación de privilegios de Windows Win32k (CVE-2021-1732 – CVE-2021-1732)
Da la posibilidad de escalar privilegios de forma local, lo que permite a un usuario autenticado en el sistema operativo con privilegios bajos, ejecutar el código de su elección con privilegios superiores o de un administrador.
Es una vulnerabilidad que puede ser utilizada en combinación con otras, como por ejemplo explotando primero una vulnerabilidad de punto de entrada a un sistema, por medio de correo electrónico o desde una USB, utilizando un archivo PDF especialmente diseñado para que sea abierto y utilizando un exploit de una vulnerabilidad en Adobe Reader, el cual permite al ser abierto por un usuario que este ejecute código y finalmente elevar privilegios con la vulnerabilidad de Windows Win32k.
Esta es una táctica común en amenazas de malware por lo que recomendamos realizar la actualización inmediata.
2. Vulnerabilidad de ejecución remota de código del servidor DNS de Windows (CVE-2021-24078)
Este parche corrige un error en el servidor DNS de Windows que puede permitir la ejecución remota de código en los sistemas afectados, sin embargo, si su sistema no está configurado para ser un servidor DNS, este error no lo afecta.
Para aquellos sistemas configurados como servidores DNS, este error permite la ejecución de código en un servicio DNS por un atacante remoto no autenticado. Esto es potencialmente problemático, aunque solo entre servidores DNS.
Recomendamos dar prioridad a esta actualización, si depende de los servidores DNS de Microsoft.
3. Vulnerabilidad de ejecución remota de código TCP/IP de Windows (CVE-2021-24074)
Se identificaron dos errores en el protocolo de comunicación de red en TCP/IP donde uno afecta a IPv4 y el otro afecta IPv6. El mayor impacto es en la versión IPv4, versión de protocolo que usa la mayoría de dispositivos. Ambos errores permiten la ejecución remota de código sin necesidad de estar autenticado en los sistemas afectados.
Con el CVE-2021-24074, la vulnerabilidad reside en el enrutamiento de origen IPv4 que puede bloquear el enrutamiento de origen en firewalls u otros dispositivos perimetrales, logrando aislar algún dispositivo. El error en IPv6 implica la fragmentación de paquetes donde una gran cantidad de fragmentos puede conducir a la ejecución del código.
4. Vulnerabilidad de ejecución remota de código de .NET Core y Visual Studio (CVE-2021-26701)
Este es el único error con calificación crítica que se incluye como conocido públicamente. Eso es todo lo que sabemos por ahora por parte de Microsoft.
Según el CVSS, permite que todos los atacantes remotos no autenticados ejecuten código arbitrario en un sistema afectado.
Independientemente, si confía en .NET Framework o .NET Core, asegúrese de probar e implementar este parche rápidamente.
Hallazgos en Adobe:
Se publicaron 6 parches para 50 vulnerabilidades en Adobe Dreamweaver, Illustrator, Animate, Photoshop, Magento y Reader. Un total de 14 de estos errores fueron notificados a través del
programa del Zero Day Initiative.
Llama la atención la actualización para Magento, que es una plataforma de Adobe para crear tiendas online, por lo que es posible que muchos sitios eCommerce utilicen esta plataforma.
La vulnerabilidad es significativa, ya que corrige 18 errores, siete de los cuales están clasificados como críticos. En el peor de los casos, la explotación
exitosa puede llevar a la ejecución de código arbitrario al nivel de procesos y recursos internos.
En el caso de Reader que es el lector recurrente de PDF, se tiene una actualización con el identificador de vulnerabilidad CVE-2021-21017 donde se genera un desbordamiento de búfer, permitiendo la ejecución de código. Este aparece en la lista de ataques activos “limitados” en Windows, lo que quiere decir que puede estar siendo explotado actualmente en ataques limitados en usuarios windows.
Además de esta actualización en Reader, ninguno de los otros errores corregidos por Adobe este mes, aparece bajo ataque activo en el momento la publicación.
Para finalizar, la siguiente tabla muestra el TOP 10 de las vulnerabilidades de Microsoft reportadas y conocidas públicamente o que se encuentran bajo ataque en el momento de la publicación y aparecen resaltadas en rojo en las cuales una ya cuenta con un exploit.
Fuente: thezdi.com
Recomendaciones de Up Connection
Actualización y aplicación de parches publicados por Microsoft y Adobe: Es recomendable realizar revisión y confirmación en los ambientes de pruebas, para verificar el impacto en la actualización de estas vulnerabilidades.
Protección inmediata a través de parches virtuales que no requiere realizar pruebas de impacto, no requiere reinicio de servidores o programación de las ventanas de mantenimiento.
Frente a la vulnerabilidad crítica en Servidores DNS de Microsoft ya se encuentra disponible el parche virtual de la tecnología de Trend Micro, por lo que puede ser protegida de inmediato sin realizar reinicio ni ventanas de mantenimiento en el servidor.
Regla 1010766 – Identified Non Existing DNS Resource Record (RR) Types In DNS Traffic (CVE-2021-24078)
Ventajas al implementar parches virtuales:
a. Esta tecnología permite la aplicación de parches para vulnerabilidades criticas, sin tocar el sistema operativo, ni las aplicaciones por lo que no se requiere reinicio.
b. El parche virtual no es un gestor de parches, ya que también protege vulnerabilidades donde todavía no existe un parche.
c. En sistemas operativos denominados Legacy, como lo son: Windows 2003, Windows 2008, que ya no son soportados por Microsoft, las nuevas vulnerabilidades y aplicaciones que corren en estos sistemas
operativos no son parchadas por el fabricante. Para estos Legacy el uso de un parche virtual es indispensable, además que alarga su vida útil.
