La última ronda de actualizaciones de seguridad mensuales de Microsoft se ha publicado con correcciones para 68 vulnerabilidades que abarca su cartera de software, incluidos parches para seis días cero explotados activamente.
12 de los problemas se califican como Críticos, dos como Altos y 55 como Importantes en gravedad. Esto también incluye las debilidades que fueron cerradas por OpenSSL la semana anterior.
También por separado dirigido a principios de mes hay una falla explotada activamente en los navegadores basados en Chromium (CVE-2022-3723) que Google tapó como parte de una actualización fuera de banda a fines del mes pasado.
«La gran noticia es que dos CVE de día cero anteriores que afectaban a Exchange Server, que se hicieron públicos a fines de septiembre, finalmente se solucionaron», dijo Greg Wiseman, gerente de producto de Rapid7, en un comunicado compartido con The Hacker News.
«Se aconseja a los clientes que actualicen sus Sistemas de servidor de intercambio inmediatamente, independientemente de si se han aplicado los pasos de mitigación recomendados previamente. Las reglas de mitigación ya no se recomiendan una vez que se han parcheado los sistemas».
La lista de vulnerabilidades explotadas activamente, que permiten la elevación de privilegios y la ejecución remota de código, es la siguiente:
- CVE-2022-41040 (Puntuación CVSS: 8,8) – Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server (también conocido como ProxyNotShell)
- CVE-2022-41082 (Puntuación CVSS: 8,8) – Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server (también conocido como ProxyNotShell)
- CVE-2022-41128 (Puntuación CVSS: 8.8) – Vulnerabilidad de ejecución remota de código de lenguajes de secuencias de comandos de Windows
- CVE-2022-41125 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del servicio de aislamiento de claves CNG de Windows
- CVE-2022-41073 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios de la cola de impresión de Windows
- CVE-2022-41091 (Puntuación CVSS: 5,4) – Marca de Windows de la vulnerabilidad de omisión de la función de seguridad web
A Benoît Sevens y Clément Lecigne del Threat Analysis Group (TAG) de Google se les atribuye el informe CVE-2022-41128, que reside en el componente JScript9 y ocurre cuando se engaña a un objetivo para que visite un sitio web especialmente diseñado.
CVE-2022-41091 es una de las dos fallas de omisión de seguridad en Windows Mark of the Web (MoTW) que salió a la luz en los últimos meses. Recientemente fue descubierto como arma por el actor de ransomware Magniber para apuntar a los usuarios con actualizaciones de software falsas.
«Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MotW), lo que resultaría en una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado de MotW», dijo Microsoft en un aviso
La segunda falla de MotW a resolver es CVE-2022-41049 (también conocido como ZippyReads). Reportado por el investigador de seguridad de Analygence Will Dormann, relaciona a una falla al establecer la marca de la marca Web en los archivos de almacenamiento extraídos.
Las dos fallas de escalada de privilegios en Print Spooler y el Servicio de Aislamiento de Llaves GNC es probable que los actores de amenazas abusen de ellos como seguimiento de un compromiso inicial y obtengan privilegios de SISTEMA, dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs.
«Se requiere este nivel más alto de acceso para deshabilitar o alterar las herramientas de monitoreo de seguridad antes de ejecutar ataques de credenciales con herramientas como Mimikatz que pueden permitir a los atacantes moverse lateralmente a través de una red», agregó Breen.
Otras cuatro vulnerabilidades calificadas como críticas en el parche de noviembre que vale la pena señalar son fallas de elevación de privilegios en Windows. Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) y Microsoft Exchange Server (CVE-2022-41080), y una falla de denegación de servicio que afecta a Windows Hyper-V (CVE-2022-38015).
La lista de correcciones para fallas críticas se completa con cuatro vulnerabilidades de ejecución remota de código en el Protocolo de tunelización punto a punto (PPTP), todos con puntajes CVSS de 8.1 (CVE-2022-41039, CVE-2022-41088y CVE-2022-41044), y otro impactante lenguaje de secuencias de comandos de Windows JScript9 y Chakra (CVE-2022-41118).
Además de estos problemas, la actualización de Patch Tuesday también resuelve una serie de fallas de ejecución remota de código en Microsoft Excel, Word, ODBC Driver, Office Graphics, SharePoint Server y Visual Studio, así como una serie de errores de escalada de privilegios en Win32k, Filtro superpuesto y directiva de grupo.
Parches de software de otros proveedores
Aparte de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad desde principios de mes para rectificar varias vulnerabilidades, que incluyen: