Durante el Martes de parches más reciente, Microsoft cerró un total de 71 vulnerabilidades. La más peligrosa de estas es CVE-2021-40449, una vulnerabilidad de tipo user-after-free en el driver Win32k que los cibercriminales ya están explotando.
Además de esto, Microsoft cerró tres vulnerabilidades graves ya conocidas. Por ahora, los expertos de Microsoft consideran su probabilidad de explotación como “menos probable”. Sin embargo, los expertos en seguridad analizan de forma activa estas vulnerabilidades, y las pruebas de concepto ya están disponibles en Internet, por lo que, alguien podría tratar de utilizar alguna.
La vulnerabilidad del kernel de Windows
CVE-2021-41335, la más peligrosa de estas tres vulnerabilidades, tiene un 7.8 en la escala de CVSS. Está contenida en el kernel de Microsoft Windows y permite la escalación de privilegios de un proceso potencialmente malicioso.
Evasión de Windows AppContainer
La segunda vulnerabilidad, CVE-2021-41338, involucra eludir las restricciones del entorno de Windows AppContainer, el cual protege las aplicaciones y los procesos. Si se cumplen ciertas condiciones, una persona no autorizada podría explotarla gracias a las reglas de la plataforma de filtrado de Windows, lo que podría resultar en una escalada de privilegios.
Los miembros de Google Project Zero descubrieron la vulnerabilidad en julio e informaron de ella a Microsoft. Le dieron a la empresa una fecha límite de 90 días para arreglarla, para finalmente publicar la prueba de concepto en el dominio público. La vulnerabilidad tiene una clasificación de CVSS de 5.5.
Vulnerabilidad de Windows servidor DNS
La vulnerabilidad CVE-2021-40469 aplica solo a las máquinas con Microsoft Windows que se ejecutan como servidores DNS. Sin embargo, todas las versiones actuales del servidor del sistema operativo, iniciando con el Servidor 2008 y hasta el Servidor 2022, que fue lanzado recientemente, son vulnerables. CVE-2021-40469 permite la ejecución remota de código en el servidor y tiene una clasificación de 7.2 en la escala de CVSS.
Cómo proteger a tu empresa
Los resultados de nuestro Incident Response Analyst Report 2021, elaborado por nuestros compañeros de Kaspersky Incident Response, indican que las vulnerabilidades siguen siendo vectores de ataque iniciales populares. Además, las vulnerabilidades no son necesariamente las más recientes; la amenaza principal aquí no son las del día cero, sino en general los retrasos en la instalación de las actualizaciones. Por esa razón, siempre recomendamos actualizar todos los dispositivos conectados lo antes posible. La actualización es de gran importancia para aplicaciones críticas como son los sistemas operativos, navegadores y soluciones de seguridad.
Para proteger a tu empresa de ataques que utilicen vulnerabilidades todavía desconocidas, utiliza soluciones de seguridad con tecnologías de protección proactiva que puedan detectar exploits de día cero.