Microsoft ha iniciado el año con un arreglo masivo de vulnerabilidades al publicar no solo su primera actualización periódica de los martes, que en esta ocasión cubre un total de 96 vulnerabilidades, sino también emitiendo otras soluciones para el navegador Microsoft Edge (principalmente en relación con el motor Chromium). En total suman más 120 vulnerabilidades parcheadas desde el inicio del año. Este es un motivo claro para actualizar el sistema operativo y algunas aplicaciones de Microsoft lo antes posible.
Las vulnerabilidades más graves
Nueve de las vulnerabilidades que se cerraron el pasado martes tienen una clasificación crítica en la escala CVSS 3.1. De estas, dos están relacionadas con la escalada de privilegios: la CVE-2022-21833 en el disco IDE virtual y la CVE-2022-21857 en Active Directory Domain Services. La explotación de las otras siete pueden otorgar al atacante la capacidad de ejecución remota de código:
- La CVE-2022-21917 en Extensiones de vídeo HEVC.
- La CVE-2022-21912 y la CVE-2022-21898 en DirectX Graphics Kernel.
- La CVE-2022-21846 en Microsoft Exchange Server.
- La CVE-2022-21840 en Microsoft Office.
- La CVE-2021-22947 en el código abierto Curl.
- La CVE-2022-21907 en la pila de protocolos HTTP.
Esta última parece ser la vulnerabilidad más desagradable. Un error en la pila de protocolos HTTP, en teoría, permite que los atacantes no solo hagan que el ordenador afectado ejecute código arbitrario, sino también que propague el ataque en la red local (de acuerdo con la terminología de Microsoft, la vulnerabilidad está clasificada como wormable, es decir, que puede utilizarse para crear un gusano). Esta vulnerabilidad puede afectar a Windows 10, Windows 11, Windows Server 2022 y Windows Server 2019. Sin embargo, de acuerdo con Microsoft, resulta peligrosa para los usuarios de Windows Server 2019 y Windows 10 versión 1809 solo si habilitan HTTP Trailer Support con la clave EnableTrailerSupport en el registro.
Los expertos también han expresado su preocupación por la presencia de otra vulnerabilidad grave en Microsoft Exchange Server, la CVE-2022-21846 que, por cierto, no es el único error de la lista, solo el más peligroso. Esta preocupación es entendible, dado que nadie quiere que se repita la ola de vulnerabilidades explotadas en Exchange el año pasado.
Vulnerabilidades con PoC (Pruebas de Concepto)
La comunidad de la seguridad ya conocía algunas de las vulnerabilidades solucionadas. Además, alguien ya había publicado pruebas de concepto para ellas:
- La CVE-2022-21836: Vulnerabilidad de falsificación de certificados de Windows.
- La CVE-2022-21839: Vulnerabilidad de denegación de servicio en la lista de control de acceso discrecional del seguimiento de eventos de Windows.
- La CVE-2022-21919: Vulnerabilidad de elevación de privilegios en el servicio de perfil de usuario de Windows.
Aún no hemos observado ataques reales con estas vulnerabilidades. Sin embargo, las pruebas de concepto ya están disponibles públicamente, por lo que la explotación puede suceder en cualquier momento.
Cómo protegerse
En primer lugar, debes actualizar tu sistema operativo (y otros programas de Microsoft) lo antes posible. En general, no es buena idea retrasar la instalación de parches para software crítico.
En segundo lugar, cualquier ordenador o servidor conectado a Internet debe estar equipado con una solución de seguridad de confianza que no solo pueda evitar la explotación de vulnerabilidades conocidas, sino que también detecte ataques con exploits aún desconocidos.