En este martes de parches de agosto, Microsoft corrigió más de cien vulnerabilidades. Algunas de estas requieren atención especial por parte del de los departamentos de ciberseguridad de empresas. Entre todas ellas, hay 17 que son críticas, dos de las cuales son de día cero. Al menos una vulnerabilidad ya ha sido explotada de manera activa, por lo que es recomendable no esperar mucho para implementar el parche. No es coincidencia que la agencia de seguridad de Infraestructura y Ciberseguridad de Estados Unidos recomiende poner atención a esta actualización.
DogWalk (alias CVE-2022-34713): vulnerabilidad RCE en MSDT
La más peligrosa de estas nuevas vulnerabilidades es CVE-2022-34713. Potencialmente, permite la ejecución remota de código malicioso (pertenece al tipo RCE). CVE-2022-34713, apodado DogWalk, es una vulnerabilidad en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), Follina, que generó ciertas expectativas en mayo de este año.
El problema reside en cómo es que el sistema maneja los archivos Cabinet (.cab). Para explotar la vulnerabilidad, el atacante debe atraer a un usuario para que abra un archivo malicioso que tenga el archivo .diagcab. Debe guardarlo en la carpeta de inicio de Windows para que se ejecute la próxima que se reinicie el equipo o se inicie sesión.
En realidad, DogWalk fue descubierto hace dos años, pero en ese momento los desarrolladores del sistema, por alguna razón, no prestaron suficiente atención a él. Ahora la vulnerabilidad está arreglada, pero Microsoft ya ha detectado su explotación.
Otras vulnerabilidades de las que protegerse
La segunda vulnerabilidad de día cero solucionada el martes pasado es CVE-2022-30134, en Microsoft Exchange. La información al respecto se publicó antes de que Microsoft pudiera crear el parche, pero hasta ahora esta vulnerabilidad no ha sido explotada de forma activa. En teoría, si un atacante logra utilizar CVE-2022-30134, podrá leer los mensajes del correo electrónicos de la víctima. Esto no es lo único que se solucionó en Exchange con el nuevo parche. También cierra las vulnerabilidades CVE-2022-24516, CVE-2022-21980 y CVE-2022-24477 que permiten a los atacantes aumentar sus permisos.
En cuanto a la calificación CVSS, dos vulnerabilidades relacionadas se llevan la palma: CVE-2022-30133 y CVE-2022-35744. Ambas se encuentran en el Protocolo Point-to-Point (PPP) y permiten a los atacantes enviar solicitudes al servidor de acceso remoto, lo que puede conducir a la ejecución de un código malicioso en el equipo. Las dos tienen la misma puntuación CVSS: 9.8.
Para aquellos que, por alguna razón, no pueden instalar los parches de manera inmediata, Microsoft recomienda cerrar el puerto 1723 (las vulnerabilidades solo pueden explotar a través de él). No obstante, hay que tener en cuenta que esto puede interrumpir la estabilidad de las comunicaciones en la red.
Cómo estar a salvo
Nuestra recomendación es instalar las actualizaciones de Microsoft lo antes posible, sin olvidar consultar toda la información en la sección de Preguntas Frecuentes, Mitigaciones, y Soluciones Alternativas en la guía de actualización que resulten relevantes para la infraestructura en cuestión.
Además, es bueno recordar que todos los equipos de la empresa con acceso a internet (ya sean estaciones de trabajo o servidores) deben estar equipados con una solución de ciberseguridad fiable, capaz de proteger contra vulnerabilidades que aún no han sido detectadas.