Vulnerabilidad explotada activamente en Windows

¡Es hora de actualizar Windows! Microsoft ha publicado parches para decenas de vulnerabilidades entre las que se encuentra una que está siendo explotada activamente por los ciberdelincuentes.

El pasado martes, 10 de mayo, Microsoft publicó parches y actualizaciones para 74 vulnerabilidades. Al menos una de ellas está siendo explotada de forma activa por varios ciberdelincuentes, por lo que la mejor opción es instalar estos parches cuanto antes.

CVE-2022-26925: la más peligrosa de las vulnerabilidades detectadas

Por lo visto, la vulnerabilidad más peligrosa a las que se dirige este paquete de actualizaciones es la CVE-2022-26925, que está incluida en la autoridad de seguridad local de Windows. Aunque en un principio la vulnerabilidad tiene una puntuación de 8,1 (lo que es relativamente bajo), los representantes de Microsoft consideran que, cuando esta se utiliza en ataques de retransmisión NTLM en servicios de Active Directory, el nivel de gravedad se eleva hasta un 9,8. Esto se debe a que, en esta situación, CVE-2022-26925 podría permitir a un atacante autenticarse en un controlador de dominio.

La vulnerabilidad puede afectar a todos los sistemas operativos Windows a partir de Windows 7 (Windows Server 2008 para sistemas de servidor) y posteriores. Microsoft no ha entrado en los detalles de la explotación de esta vulnerabilidad, pero, a juzgar por la descripción del problema, varios atacantes desconocidos ya están utilizando activamente los exploits para CVE-2022-26925. La buena noticia es que, según los expertos, es bastante difícil aprovechar esta vulnerabilidad en ataques reales.

El parche detecta y deniega los intentos de conexión anónima al protocolo remoto de la autoridad de seguridad local. Sin embargo, según las FAQ oficiales, la instalación de esta actualización en Windows Server 2008 SP2 puede afectar al software de copia de seguridad.

Otras vulnerabilidades

Además de CVE-2022-26925, la última actualización corrige otras vulnerabilidades de nivel “crítico”. Entre ellas se encuentra la vulnerabilidad RCE CVE-2022-26937 en el sistema de archivos de red de Windows (NFS), así como CVE-2022-22012 y CVE-2022-29130, dos vulnerabilidades RCE en el servicio LDAP.

Dos de estas vulnerabilidades ya eran conocidas públicamente cuando se publicaron los parches: CVE-2022-29972 – un error en el controlador Magnitude Simba Amazon Redshift de Insight Software, y CVE-2022-22713 – una vulnerabilidad DoS en Windows Hyper-V. Eso sí, debemos mencionar que, hasta la fecha, no se ha detectado ningún intento de explotación de estos dos casos.

Cómo mantenerse protegido

Lo primero y más importante es instalar las actualizaciones recientes de Microsoft. Si, por alguna razón, no puedes hacerlo, consulta la sección de preguntas frecuentes, mitigaciones y soluciones de la Guía Oficial de Actualizaciones de Seguridad de mayo de 2022 de Microsoft. Probablemente, alguno de los métodos aquí descritos te servirá para la protección de aquellas vulnerabilidades que puedan afectar a tu equipo.

Nosotros recomendamos proteger todos los dispositivos conectados a Internet con una solución fiable [KESB placeholder] [/KESB placeholder] que pueda detectar la explotación de vulnerabilidades hasta ahora desconocidas.

Consejos