Es el segundo martes del mes y eso significa que es Update Tuesday, el lanzamiento mensual de parches de seguridad disponibles para casi todo el software compatible con Microsoft. Esta vez, el fabricante de software ha reparado seis días cero bajo explotación activa en la naturaleza, junto con una amplia gama de otras vulnerabilidades que representan una amenaza para los usuarios finales.
Dos de los días cero son vulnerabilidades de alta gravedad en Exchange que, cuando se usan juntas, permiten a los piratas informáticos ejecutar código malicioso en los servidores. Rastreadas como CVE-2022-41040 y CVE-2022-41082, estas vulnerabilidades salieron a la luz en septiembre. En ese momento, los investigadores en Vietnam informaron que se habían utilizado para infectar servidores de Exchange locales con shells web, las interfaces basadas en texto que permiten a las personas ejecutar comandos de forma remota.
Más conocido como ProxyNotShell, las vulnerabilidades afectan a los servidores de Exchange locales. Las búsquedas de Shodan en el momento en que los días cero se hicieron públicos mostraron que aproximadamente 220,000 servidores eran vulnerables. Microsoft dijo a principios de octubre que sabía que solo un actor de amenazas explotaba las vulnerabilidades y que el actor se había dirigido a menos de 10 organizaciones. El actor de amenazas habla chino simplificado con fluidez, lo que sugiere que tiene un nexo con China.
Un tercer día cero es CVE-2022-41128, una vulnerabilidad crítica de Windows que también permite que un actor de amenazas ejecute código malicioso de forma remota. La vulnerabilidad, que funciona cuando un dispositivo vulnerable accede a un servidor malicioso, fue descubierta por Clément Lecigne del Grupo de Análisis de Amenazas de Google. Debido a que TAG rastrea la piratería respaldada por los estados-nación, el descubrimiento probablemente signifique que los piratas informáticos respaldados por el gobierno están detrás de las vulnerabilidades de día cero.
Dos días cero más son vulnerabilidades de escalada de privilegios, una clase de vulnerabilidad que, cuando se combina con una vulnerabilidad separada o la usa alguien que ya tiene privilegios limitados del sistema en un dispositivo, eleva los derechos del sistema a los necesarios para instalar código, acceder contraseñas y tomar el control de un dispositivo. A medida que la seguridad en las aplicaciones y los sistemas operativos ha mejorado en la última década, las denominadas vulnerabilidades EoP han ganado importancia.
CVE-2022-41073 afecta a la cola de impresión de Microsoft, mientras que CVE-2022-41125 reside en el Servicio de aislamiento de claves CNG de Windows. Ambas vulnerabilidades de EoP fueron descubiertas por el equipo de inteligencia de amenazas de seguridad de Microsoft.
El último día cero corregido este mes también está en Windows. CVE-2022-41091 permite a los piratas informáticos crear archivos maliciosos que evaden las defensas de Mark of the Web, que están diseñados para funcionar con funciones de seguridad como Vista protegida en Microsoft Office. Will Dormann, analista sénior de vulnerabilidades de la firma de seguridad ANALYGENCE, descubrió la técnica del bypass en julio.
En total, la actualización del martes de este mes solucionó un total de 68 vulnerabilidades. Microsoft otorgó una calificación de gravedad “crítica” a 11 de ellos, y el resto recibió la calificación de “importante”. Los parches generalmente se instalan automáticamente en aproximadamente 24 horas. Aquellos que quieran instalar actualizaciones de inmediato pueden ir a Windows > Configuración > Actualizaciones y seguridad > Actualización de Windows. El resumen completo de Microsoft es aquí.