En octubre, Microsoft ha publicado 74 correcciones de seguridad, incluido un error Zero-Day explotado activamente en Win32k. Se incluyen soluciones para un total de cuatro fallas de día cero, tres de las cuales son públicas. Los productos afectados por la actualización de seguridad de octubre incluyen Microsoft Office, Exchange Server, MSHTML, Visual Studio y el navegador Edge.
Los errores de día cero se identifican como CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 y CVE-2021-41335. La primera está siendo aprovechada activamente por atacantes: MysterySnail.
CVE-2021-26427 es una vulnerabilidad RCE en Microsoft Exchange Server que recibió una puntuación CVSSv3 de 9, la más alta en esta versión del martes de parches. La vulnerabilidad se atribuye a Andrew Ruddick del Centro de Respuesta de Seguridad de Microsoft, así como a la Agencia de Seguridad Nacional (NSA). A pesar de la alta puntuación de CVSS, el aviso señala específicamente que la vulnerabilidad solo sería explotable desde una red adyacente. En abril, a la NSA también se le atribuyó el descubrimiento de cuatro vulnerabilidades de RCE en Microsoft Exchange Server.
MysterySnail
A finales de agosto y principios de septiembre de 2021, Kaspersky detectó ataques mediante el uso de un exploit de elevación de privilegios en varios servidores de Microsoft Windows. El nuevo exploit está basado en otro más más antiguo y conocido públicamente desde 2016 (CVE-2016-3309), pero un análisis más detallado reveló que era un Zero-Day.
Este Zero-Day está usando una vulnerabilidad previamente desconocida en el controlador Win32k y la explotación se basa en gran medida en una técnica para filtrar las direcciones base de los módulos del kernel. Microsoft asignó CVE-2021-40449 a esta vulnerabilidad use-after-free en el controlador del kernel Win32k y fue parcheada el 12 de octubre de 2021, como parte del martes de parches de octubre.
Además de encontrar este día cero in-the-wild, Kaspersky analizó el malware utilizado junto con el exploit y descubrieron que se detectaron variantes del malware en campañas de espionaje generalizadas contra empresas de TI, contratistas militares/defensa y entidades diplomáticas.
Kaspersky llamó a este ataque MysterySnail. La similitud de código y la reutilización de la infraestructura C2 que descubrieron permite conectar estos ataques con el actor conocido como IronHusky y la actividad APT de habla china que se remonta a 2012.
Este exploit de elevación de privilegios funciona en los siguientes productos de Windows:
- Microsoft Windows Vista
- Microsoft Windows 7
- Microsoft Windows 8
- Microsoft Windows 8.1
- Microsoft Windows Server 2008
- Microsoft Windows Server 2008 R2
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows 10 (compilación 14393)
- Microsoft Windows Server 2016 (compilación 14393)
- Microsoft Windows 10 (compilación 17763)
- Microsoft Windows Server 2019 (compilación 17763)