Microsoft corrigió hasta 89 fallas de seguridad como parte de sus actualizaciones mensuales del martes de parches publicadas ayer, incluidas las correcciones para un día cero explotado activamente en Internet Explorer que podría permitir a un atacante ejecutar código arbitrario en las máquinas de destino.
De estos defectos, 14 se enumeran como críticos y 75 se enumeran como importantes en gravedad, de los cuales dos de los errores se describen como conocidos públicamente, mientras que otros cinco han sido reportados como bajo ataque activo en el momento del lanzamiento.
Entre esos cinco problemas de seguridad se encuentran un grupo de vulnerabilidades conocidas como ProxyLogon (CVE-2021-26855, 2021-26857, CVE-2021-26858 y CVE-2021-27065) que permite a los adversarios ingresar a Microsoft Exchange Server en entornos de destino y posteriormente permitir la instalación de puertas traseras basadas en web no autorizadas para facilitar el acceso a largo plazo.
Pero a raíz de que los servidores de Exchange fueron atacados indiscriminadamente a fines de febrero por múltiples grupos de amenazas que buscaban explotar las vulnerabilidades y plantar puertas traseras en las redes corporativas, Microsoft dio el paso inusual de lanzar arreglos fuera de banda una semana antes de lo planeado. .
El aumento de la explotación masiva después de que Microsoft lanzó sus actualizaciones el 2 de marzo ha llevado a la compañía a implementar otra serie de actualizaciones de seguridad dirigidas a actualizaciones acumulativas más antiguas y no compatibles que son vulnerables a los ataques de ProxyLogon.
También se incluye en la mezcla un parche para el día cero en Internet Explorer (CVE-2021-26411) que fue descubierto como explotado por piratas informáticos norcoreanos para comprometer a los investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades a principios de este año.
La empresa surcoreana de ciberseguridad ENKI, que reveló públicamente la falla a principios del mes pasado, afirmó que los piratas informáticos estatales de Corea del Norte hicieron un intento infructuoso de atacar a sus investigadores de seguridad con archivos MHTML maliciosos que, cuando se abrieron, descargaron dos cargas útiles de un servidor remoto, uno de los cuales contenía un día cero contra Internet Explorer.
Además de estas vulnerabilidades explotadas activamente, la actualización también corrige una serie de fallas de ejecución remota de código (RCE) en Windows DNS Server (CVE-2021-26897, CVSS puntuación 9,8), servidor Hyper-V (CVE-2021-26867, CVSS puntuación 9,9), SharePoint Server (CVE-2021-27076, puntuación CVSS 8,8) y Azure Sphere (CVE-2021-27080, puntuación CVSS 9,3).
CVE-2021-26897 se destaca por un par de razones. En primer lugar, Microsoft califica la falla como «más probable de explotación», y está categorizada como una vulnerabilidad de cero clic de baja complejidad de ataque que no requiere la interacción del usuario.
Además, esta es también la segunda vez consecutiva que Microsoft ha abordado una falla crítica de RCE en el servidor DNS de Windows. El mes pasado, la compañía implementó una solución para CVE-2021-24078 en el mismo componente que, si no se repara, podría permitir que una parte no autorizada ejecute código arbitrario y potencialmente redirigir el tráfico legítimo a servidores maliciosos.
Para instalar las últimas actualizaciones de seguridad, los usuarios de Windows pueden dirigirse a Inicio> Configuración> Actualización y seguridad> Actualización de Windows, o seleccionando Buscar actualizaciones de Windows.