2 de octubre de 2022

Ayer mismo Microsoft ha publicado su Parche del Martes para corregir 121 vulnerabilidades

De los 121 fallos de seguridad parcheados, 17 fueron marcados como críticos, 102 como importantes, 1 como moderado y 1 como de riesgo bajo. De todos ellos, solo dos eran conocidos de forma pública en el momento de la publicación del parche. Es importante tener en cuenta que Microsoft Edge, el navegador web basado en Chromium, juega en otra liga al habérsele corregido aparte 25 deficiencias entre finales desde finales del mes julio hasta el fin de la semana pasada.

El gigante de Redmond, de todo lo parcheado, ha destacado una vulnerabilidad que abría la puerta a la ejecución de código en remoto a través del Monitor de rendimiento y recursos de Microsoft (MSDT), una herramienta de Windows que genera un informe del estado de los recursos del hardware local, los tiempos de respuesta del sistema y los procesos del equipo local junto con información del sistema y datos de configuración.

La explotación de la vulnerabilidad requería que el usuario abriera un fichero específicamente creado para ese propósito, por lo que entran técnicas como el phishing y el engaño a través de la descarga de un fichero alojado en un sitio web malicioso o mediante un correo electrónico.

La ejecución de código en remoto hallada en MSDT, identificada como CVE-2022-34713, no es la única vulnerabilidad hallada en la herramienta, ya que Microsoft ha parcheado otra del mismo tipo identificada como CVE-2022-35743.

Continuando con las ejecuciones en remoto, nos encontramos con correcciones para ese tipo de vulnerabilidad aplicadas al Protocolo Punto a Punto (PPP) de Windows, el Protocolo de Tunelización de Sockets Seguros (SSTP) de Windows, Azure RTOS GUIX Studio, Microsoft Office y el hipervisor Hyper-V incluido en el sistema operativo Windows.

Otro tipo de vulnerabilidad con protagonismo son las escaladas de privilegio. En el Servidor de Exchange se han encontrado tres vulnerabilidades de ese tipo (CVE-2022-21980, CVE-2022-24477 y CVE-2022-24516) que al ser explotadas podían ser empleadas para leer mensajes de correo específicos y descargar los ficheros adjuntos que contuvieran. Por otro lado, en el mismo componente ha sido parcheado un fallo de seguridad conocido de forma pública (CVE-2022-30134) que abría la puerta a hacer lo mismo.

El Parche del Martes se encarga de corregir decenas de fallos de seguridad consistentes en escaladas de privilegios, 31 de los cuales fueron hallados en Azure Site Recovery. Esto se suma a lo realizado por la compañía hace un mes, cuando corrigió treinta fallos similares en el servicio de continuidad comercial, cinco en los espacios de almacenamiento directos, tres en el propio kernel de Windows y dos en el módulo Print Spooler.

La publicación de este tipo de parches para corregir por lote una gran cantidad de vulnerabilidades que son comunes entre las soluciones de software que alcanzan cierto tamaño. También existen, aunque posiblemente publicados bajo otros formatos y con otras cadencias, para las distribuciones Linux, Android, las soluciones de Adobe, los productos de Intel, etc.