Tantos como 121 nuevas fallas de seguridad fueron parcheados por Microsoft como parte de sus actualizaciones de Patch Tuesday para el mes de agosto, que también incluye una solución para una vulnerabilidad de la herramienta de diagnóstico de soporte que, según la compañía, se está explotando activamente en la naturaleza.
De los 121 errores, 17 se califican como Críticos, 102 como Importantes, uno como Moderado y otro como Bajo en gravedad. Dos de los problemas se han enumerado como conocidos públicamente en el momento del lanzamiento.
Vale la pena señalar que las fallas de seguridad 121 se suman a 25 defectos el gigante tecnológico abordó en su navegador Edge basado en Chromium a fines del mes pasado y la semana anterior.
Encabezando la lista de parches está CVE-2022-34713 (puntuación CVSS: 7,8), un caso de ejecución remota de código que afecta a la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), lo que la convierte en la segunda falla en el mismo componente después de Follina (CVE-2022-30190) que se utiliza como arma en ataques del mundo real dentro de tres meses.
También se dice que la vulnerabilidad es una variante de la falla conocida públicamente como DogWalk, que fue revelada originalmente por el investigador de seguridad Imre Rad en enero de 2020.
«La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado», dijo Microsoft en un aviso. «En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que abra el archivo».
Alternativamente, un atacante podría alojar un sitio web o aprovechar un sitio ya comprometido que contiene un archivo con malware diseñado para explotar la vulnerabilidad y luego engañar a los objetivos potenciales para que hagan clic en un enlace en un correo electrónico o un mensaje instantáneo para abrir el documento.
«Este no es un vector poco común y los documentos y enlaces maliciosos todavía son utilizados por los atacantes con gran efecto», dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs. «Subraya la necesidad de mejorar las habilidades de los empleados para que desconfíen de tales ataques».
CVE-2022-34713 es una de las dos fallas de ejecución remota de código en MSDT cerrada por Redmond este mes, la otra es CVE-2022-35743 (puntuación CVSS: 7,8). A los investigadores de seguridad Bill Demirkapi y Matt Graeber se les atribuye haber informado sobre la vulnerabilidad.
Microsoft también resolvió tres fallas de escalada de privilegios en Exchange Server que podrían utilizarse para leer mensajes de correo electrónico específicos y descargar archivos adjuntos (CVE-2022-21980, CVE-2022-24477y CVE-2022-24516) y una vulnerabilidad de divulgación de información conocida públicamente (CVE-2022-30134) a cambio, que también podría tener el mismo impacto.
«Los administradores deben habilitar Protección extendida para remediar por completo esta vulnerabilidad», comentó Greg Wiseman, gerente de producto de Rapid7, sobre CVE-2022-30134.
La actualización de seguridad corrige aún más múltiples fallas de ejecución remota de código en el Protocolo punto a punto (PPP) de Windows, el Protocolo de túnel de sockets seguros (SSTP) de Windows, Azure RTOS GUIX Studio, Microsoft Office y Windows Hyper-V.
La corrección del martes de parches también se destaca por abordar docenas de fallas de escalada de privilegios: 31 en Azure Site Recovery, un mes después de que Microsoft eliminó 30 errores similares en el servicio de continuidad comercial, cinco en Storage Spaces Direct, tres en Windows Kernel y dos en el Módulo de cola de impresión.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para corregir varias vulnerabilidades, que incluyen: