de Microsoft Actualización del martes de parches para el mes de marzo se ha hecho oficialmente disponible con 71 correcciones que abarcan todos sus productos de software como Windows, Office, Exchange y Defender, entre otros.
Del total de 71 parches, tres están clasificados como Críticos y 68 están clasificados como Importantes en cuanto a su gravedad. Si bien ninguna de las vulnerabilidades se enumera como explotada activamente, tres de ellas se conocen públicamente en el momento del lanzamiento.
Vale la pena señalar que Microsoft por separado abordó 21 defectos en el navegador Microsoft Edge basado en Chromium a principios de este mes.
Las tres vulnerabilidades críticas remediadas este mes son fallas de ejecución remota de código que afectan las extensiones de video HEVC (CVE-2022-22006), Microsoft Exchange Server (CVE-2022-23277), y extensiones de video VP9 (CVE-2022-24501).
La vulnerabilidad de Microsoft Exchange Server, que fue reportada por el investigador Markus Wulftange, también es notable por el hecho de que requiere que el atacante esté autenticado para poder explotar el servidor.
«El atacante de esta vulnerabilidad podría apuntar a las cuentas del servidor en una ejecución de código arbitraria o remota», dijo el fabricante de Windows. «Como usuario autenticado, el atacante podría intentar activar un código malicioso en el contexto de la cuenta del servidor a través de una llamada de red».
«La vulnerabilidad crítica CVE-2022-23277 también debería ser una preocupación», dijo Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs. «Si bien requiere autenticación, esta vulnerabilidad que afecta a los servidores de Exchange en las instalaciones podría usarse potencialmente durante el movimiento lateral hacia una parte del entorno que presenta la oportunidad de comprometer el correo electrónico comercial o el robo de datos del correo electrónico».
Los tres errores de día cero corregidos por Microsoft son los siguientes:
- CVE-2022-24512 (Puntuación CVSS: 6.3) – Vulnerabilidad de ejecución remota de código de .NET y Visual Studio
- CVE-2022-21990 (Puntuación CVSS: 8,8) – Vulnerabilidad de ejecución remota de código del cliente de escritorio remoto
- CVE-2022-24459 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del servicio de fax y escaneo de Windows
Microsoft también calificó a CVE-2022-21990 como «Explotación más probable» debido a la disponibilidad pública de un exploit de prueba de concepto (PoC), por lo que es crucial que las actualizaciones se apliquen lo antes posible para evitar posibles ataques.
Otros defectos importantes son una serie de fallas de ejecución remota de código en Windows SMBv3 Client/Server, Microsoft Office y Paint 3D, así como fallas en la escalada de privilegios en Xbox Live Auth Manager, Microsoft Defender para IoT y Azure Site Recovery.
En total, los parches eliminan 29 vulnerabilidades de ejecución remota de código, 25 vulnerabilidades de elevación de privilegios, seis vulnerabilidades de divulgación de información, cuatro vulnerabilidades de denegación de servicio, tres vulnerabilidades de omisión de funciones de seguridad, tres vulnerabilidades de suplantación de identidad y una vulnerabilidad de manipulación.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad para corregir varias vulnerabilidades, contando: