Ultimas noticias de Ciber Seguridad del Centro Criptológico Nacional

Vulnerabilidades en Microsoft

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de las actualizaciones de seguridad de Microsoft correspondientes al mes de agosto, nueve de las cuales han sido calificadas como críticas y 37 como importantes.

Cabe destacar que Microsoft ha parcheado en este mes las dos vulnerabilidades que se publicaron durante las semanas anteriores: 

  • La primera vulnerabilidad, conocida como PrintNightmare, y que permitía la ejecución remota de código y la escalada local de privilegios dentro del sistema atacado aprovechando un error en el servicio Windows Print Spooler, ha sido parcheada al exigir que los usuarios tengan privilegios administrativos para instalar controladores de impresora mediante la función de Windows Point and Print. Desde la compañía, debido a la gravedad de los ataques, se publicó una actualización de seguridad (KB5004945) para parchear esta vulnerabilidad. No obstante, este parche sólo resuelve la vulnerabilidad si la política Point and Print está deshabilitada.
  • Por otro lado, la otra vulnerabilidad descubierta a lo largo del mes pasado, denominada PetitPotam, permitía usar la API MS-EFSRPC para forzar a los dispositivos a conectarse a un servidor remoto bajo el control de un atacante. La explotación exitosa de esta vulnerabilidad autorizaba, con pocos privilegios, hacerse cargo de un controlador de dominio y, por lo tanto, de todo el dominio de Windows. Desde la compañía se publicó una actualización de seguridad (KB5005413) para parchear esta vulnerabilidad.

Vulnerabilidades

A continuación, se detallan las vulnerabilidades más destacadas de este boletín de Microsoft donde se ha suprimido la descripción de las mismas, por lo que, en ausencia de detalles adicionales, se incluye la información proporcionada por el fabricante.

CVE

Producto afectado

Descripción

CVE-2021-36936

Windows Print Spooler

Vulnerabilidad que existe debido a una validación inadecuada en la cola de impresión de Windows. Un atacante remoto autenticado puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2021-36948

Windows Update Medic Service

Vulnerabilidad que existe debido al procesamiento incorrecto de los datos suministrados por el usuario en el LSA de Windows. Un atacante remoto puede falsificar el contenido de la página y realizar un ataque de suplantación de identidad.

CVE-2021-34534

Windows Graphics

Vulnerabilidad existente debido a una validación de entrada inadecuada en el componente gráfico de Windows. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

CVE-2021-34535

Remote Desktop Client

Vulnerabilidad existente debido a una validación de entrada incorrecta en el cliente de escritorio remoto. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

CVE-2021-24093

Microsoft Windows Graphics

Vulnerabilidad que aprovecha una validación incorrecta en la entrada proporcionada por el usuario en el componente de gráficos de Windows, permitiendo a un atacante remoto ejecutar código arbitrario en el sistema.

CVE-2021-26424

Windows TCP/IP

Vulnerabilidad que existe debido a un error de límite en tcpip.sys al procesar paquetes TCP/IP enviados a través del protocolo IPv6. Se puede enviar un ping IPv6 especialmente diseñado al host de Hyper-V afectado, provocar una corrupción de memoria y ejecutar código arbitrario en el sistema de destino.

CVE-2021-34480

Microsoft Scripting Engine

Vulnerabilidad existente debido a un error de límite en el motor de scripting. Un atacante remoto puede engañar a una víctima para que abra un archivo especialmente diseñado o visite un sitio web malicioso, desencadenar la corrupción de memoria y ejecutar código arbitrario en el sistema de destino.

CVE-2021-26432

Windows Services for NFS ONCRPC XDR Driver

Vulnerabilidad que existe debido a una validación de entrada incorrecta en el controlador XDR de Windows Services. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

Por el momento, la base de datos del NIST no ha registrado las vulnerabilidades, por lo que no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, Microsoft ha catalogado estas vulnerabilidades como críticas y la CVE-2021-36948 está siendo utilizada.   

Recursos afectados:

  • Microsoft Windows Print Spooler Components.
  • Microsoft Windows LSA.
  • Microsoft Windows Update Medic Service.
  • Microsoft Graphics Component.
  • Microsoft Windows MSHTML.
  • Remote Desktop Client.
  • Microsoft Windows TCP/IP.
  • Microsoft Scripting Engine.
  • Microsoft Windows Services for NFS ONCRPC XDR Driver.

Solución a las vulnerabilidades:

Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas las vulnerabilidades descritas. Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.

Recomendaciones:

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear las vulnerabilidades descritas.

Referencias:


Más información