Nivel de peligrosidad: CRÍTICO.
Con el lanzamiento del boletín de seguridad de Microsoft correspondiente al mes de septiembre, se han solucionado 63 vulnerabilidades; 5 de las cuales han sido catalogadas como críticas. Además, se incluyen 2 vulnerabilidades de tipo zero-day registradas bajo el CVE-2022-37969 y CVE-2022-23960, habiéndo explotado de manera activa la primera de ellas. La actualización de seguridad de este mes proporciona actualizaciones para varios productos de software y funciones de Microsoft, como por ejemplo, Microsoft Dynamics CRM, Windows Internet Key Exchange (IKE) y Windows TCP/IP. Para obtener un resumen completo sobre cada CVE, la compañía ha puesto a disposición de sus usuarios los detalles de cada una de ellas.
La vulnerabilidad zero-day explotada fue descubierta por Quan Jin y Genwei Jiang, y permite elevar privilegios dentro del subsistema de tiempo de ejecución de cliente/servidor (csrss.exe) de Windows.
| CVE |
Descripción |
|
CVE-2022-35805 CVE-2022-34700 |
Vulnerabilidades que existen debido a la insuficiente sanitización de los datos suministrados por el usuario. Un usuario remoto puede enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación. La explotación exitosa de estas vulnerabilidades pueden permitir a un atacante remoto leer, borrar, modificar datos en la base de datos y obtener el control completo de la aplicación afectada. |
|
CVE-2022-34722 CVE-2022-34721 |
Vulnerabilidades causadas por la insuficiente validación de la entrada suministrada por el usuario al manejar los paquetes IKEv1. Un atacante remoto puede enviar paquetes IKEv1 especialmente diseñados al sistema afectado y ejecutar código arbitrario. |
|
CVE-2022-34718 |
Vulnerabilidad que existe debido a la insuficiente validación de la entrada suministrada por el usuario en el TCP/IP de Windows. Un atacante remoto puede enviar un paquete IPv6 especialmente diseñado y ejecutar código arbitrario en el sistema de destino. |
La base de datos del NIST ha registrado las vulnerabilidades descritas anteriormente, asignando a CVE-2022-35805 y CVE-2022-34700 una criticidad alta, teniendo las restantes una severidad crítica de acuerdo a la escala CVSSv3. Sin embargo, el fabricante ha catalogado a todas las vulnerabilidades descritas en la tabla con una severidad crítica.
Por otro lado, en lo referente a las vulnerabilidades indicadas en la tabla, no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estos fallos, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Sin embargo, en lo que respecta a la vulnerabilidad de tipo zero-day identificada bajo el CVE-2022-37969, desde la compañía se ha informado que se tienen pruebas fehacientes de que ha sido explotada, sin dar más detalles, para preservar la seguridad de los sistemas de los usuarios, hasta que éstos actualicen sus equipos a una versión fija parcheada.
Recursos afectados:
- Windows. Versiones: 7 - XP
- Windows Server. Versiones 2003- 2002 20H2 y 2008 - 2022 20H2
- Microsoft Dynamics 365. Versiones 9.0 - 9.1
Solución a las vulnerabilidades:
Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas las vulnerabilidades descritas, incluyendo las vulnerabilidades de tipo zero-day reportadas.
Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por Microsoft, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear las vulnerabilidades descritas.
Referencias:
