Microsoft ha instado a sus clientes a instalar actualizaciones de seguridad para tres vulnerabilidades de TCP / IP de Windows calificadas como críticas y de alta gravedad lo antes posible.
Esta advertencia se emitió debido a un elevado riesgo de explotación y posibles ataques de denegación de servicio (DoS) que pronto podrían atacar estos errores.
Las tres vulnerabilidades de seguridad de TCP / IP afectan a los equipos que ejecutan versiones de servidor y cliente de Windows a partir de Windows 7 y versiones posteriores.
Todos son explotables de forma remota por atacantes no autenticados y se rastrean como CVE-2021-24074 , CVE-2021-24094 y CVE-2021-24086 .
Dos de ellos exponen los sistemas no parcheados a ataques de ejecución remota de código (RCE), mientras que el tercero permite a los atacantes activar un estado DoS, eliminando el dispositivo objetivo.
«El DoS explota para estos CVEs permitirían a un atacante remoto para causar un error de detención. Los clientes podrían recibir una pantalla azul en cualquier sistema Windows que se expone directamente a Internet con tráfico de red mínima», el equipo de Microsoft Security Response Center dijo .
«Las dos vulnerabilidades de RCE son complejas, lo que dificulta la creación de exploits funcionales, por lo que es poco probable que ocurran a corto plazo.
«Creemos que los atacantes podrán crear exploits DoS mucho más rápidamente y esperamos que los tres problemas puedan ser aprovechados con un ataque DoS poco después del lanzamiento. Por lo tanto, recomendamos a los clientes que se muevan rápidamente para aplicar las actualizaciones de seguridad de Windows este mes «.
Soluciones alternativas también disponibles
Si bien Microsoft dice que es vital aplicar las actualizaciones de seguridad de hoy en todos los dispositivos Windows lo antes posible, la compañía también ofrece soluciones para aquellos que no pueden implementarlas de inmediato.
Redmond proporciona soluciones independientes de Protocolo de Internet versión 4 (IPv4) y Protocolo de Internet versión 6 (IPv6) para estos problemas de seguridad.
La solución alternativa de IPv4 requiere endurecimiento frente al uso de enrutamiento de origen, normalmente no permitido en el estado predeterminado de Windows.
Las instrucciones detalladas disponibles en el aviso CVE-2021-24074 se pueden aplicar a través de la Política de grupo o ejecutando un comando NETSH que no requerirá reiniciar la máquina parcheada.
Las soluciones provisionales de IPv6 requieren bloquear fragmentos de IPv6 que, desafortunadamente, pueden afectar negativamente a los servicios con dependencias de IPv6; la información sobre cómo aplicarlos está disponible en los avisos CVE-2021-24094 y CVE-2021-24086 .
«Las solicitudes de enrutamiento de origen IPv4 y los fragmentos de IPv6 se pueden bloquear en un dispositivo periférico, como un equilibrador de carga o un firewall», señaló Microsoft.
«Esta opción se puede utilizar para mitigar los sistemas con exposición de alto riesgo y luego permitir que los sistemas sean parcheados siguiendo su cadencia estándar».