Hoy es el martes de parches de noviembre de 2022 de Microsoft, y con él vienen correcciones para seis vulnerabilidades de Windows explotadas activamente y un total de 68 fallas.
Once de las 68 vulnerabilidades corregidas en la actualización de hoy se clasifican como «Críticas», ya que permiten la elevación de privilegios, la suplantación de identidad o la ejecución remota de código, uno de los tipos de vulnerabilidades más graves.
El número de errores en cada categoría de vulnerabilidad se enumera a continuación:
- 27 Vulnerabilidades de elevación de privilegios
- 4 Vulnerabilidades de omisión de funciones de seguridad
- 16 vulnerabilidades de ejecución remota de código
- 11 Vulnerabilidades de divulgación de información
- 6 Vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
Los recuentos anteriores no incluyen dos vulnerabilidades de OpenSSL reveladas el 2 de noviembre.
Seis Zero Days explotados activamente fijos
El martes de parches de este mes corrige seis vulnerabilidades de Zero Day explotadas activamente, y una se divulga públicamente.
Microsoft clasifica una vulnerabilidad como de día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible.
Las seis vulnerabilidades de día cero explotadas activamente y corregidas en las actualizaciones de hoy son:
CVE-2022-41128: vulnerabilidad de ejecución remota de código de lenguajes de secuencias de comandos de Windows descubierta por Clément Lecigne del grupo de análisis de amenazas de Google
«Esta vulnerabilidad requiere que un usuario con una versión afectada de Windows acceda a un servidor malicioso. Un atacante tendría que alojar un servidor compartido o sitio web especialmente diseñado. Un atacante no tendría forma de obligar a los usuarios a visitar este servidor compartido o sitio web especialmente diseñado. , pero tendría que convencerlos de que visiten el servidor compartido o el sitio web, generalmente a través de un incentivo en un correo electrónico o mensaje de chat».
CVE-2022-41091: marca de Windows de la vulnerabilidad de omisión de la función de seguridad web descubierta por Will Dormann.
«Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), lo que daría como resultado una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW».
Dormann demostró esta vulnerabilidad en julio en Twitter, permitiendo que un archivo Zip especialmente diseñado pasara por alto la función de seguridad Mark of the Web. Hoy, Dormann proporcionó más detalles sobre cómo explotar esta vulnerabilidad, que consiste simplemente en crear un archivo ZIP que contenga un archivo de solo lectura.
CVE-2022-41073: Vulnerabilidad de elevación de privilegios en la cola de impresión de Windows descubierta por Microsoft Threat Intelligence Center (MSTIC).
«Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA».
CVE-2022-41125: vulnerabilidad de elevación de privilegios del servicio de aislamiento de claves CNG de Windows descubierta por Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC).
«Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA».
CVE-2022-41040: Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server descubierta por GTSC y divulgada a través de la iniciativa Zero Dat.
«Los privilegios adquiridos por el atacante serían la capacidad de ejecutar PowerShell en el contexto del sistema».
CVE-2022-41082: vulnerabilidad de ejecución remota de código de Microsoft Exchange Server descubierta por GTSC y divulgada a través de la iniciativa Zero Dat.
«El atacante de esta vulnerabilidad podría apuntar a las cuentas del servidor en una ejecución de código arbitraria o remota. Como usuario autenticado, el atacante podría intentar activar un código malicioso en el contexto de la cuenta del servidor a través de una llamada de red».
Puede encontrar más información sobre las vulnerabilidades de Microsoft Exchange anteriores en la siguiente sección.
Microsoft Exchange ProxyNotShell zero-days arreglado
Microsoft ha publicado actualizaciones de seguridad para dos vulnerabilidades de día cero explotadas activamente y registradas como CVE-2022-41040 y CVE-2022-41082, también denominadas ProxyNotShell.
Estas vulnerabilidades fueron reveladas a fines de septiembre por la firma vietnamita de ciberseguridad GTSC, quien fue la primera en detectar las fallas utilizadas en los ataques.
Las vulnerabilidades se informaron a Microsoft a través del programa Zero Day Initiative.
Hoy, Microsoft solucionó las vulnerabilidades de ProxyNotShell en la actualización de seguridad KB5019758 para Microsoft Exchange Server 2019, 2016 y 2013.