De los 71 CVE abordados, tres se clasifican como importantes de día cero. Este mes la cantidad de parches para vulnerabilidades Críticas sigue siendo baja; sin embargo, el número total de actualizaciones es casi el doble de lo que se ofreció en febrero de 2022.
A medida que se siguen publicando vulnerabilidades y parches, y a medida que cambian las historias sobre las actualizaciones de parches (consulte Log4j como ejemplo), es de vital importancia que los equipos de SecOps mantengan un plan cuidadoso de reparación y mitigación en torno a todas las vulnerabilidades relacionadas con sus entornos. El equipo de investigación de vulnerabilidades de ProtektNet ofrece detalles y análisis sobre las vulnerabilidades que afectan a la mayoría de las organizaciones; sin embargo, su empresa puede utilizar un conjunto más particular de productos de Microsoft. Recomendamos que revise la investigación del proveedor en consecuencia, junto con su plan de remediación y priorización estándar.
Múltiples vulnerabilidades de día cero
Las tres vulnerabilidades de día cero informadas y parcheadas este mes solo obtienen puntajes CVSS entre 6.3 y 8.8, o una clasificación de Importante . No obstante, estas vulnerabilidades son relevantes para cualquier organización que utilice los productos afectados. Para una comprensión más precisa de cómo estas vulnerabilidades de día cero podrían afectar a su organización. Proporcionará información y datos valiosos, prediciendo cuándo y cómo estas vulnerabilidades podrían afectar su entorno.
Este mes, los días cero cubren una amplia gama de productos de Microsoft:
CVE-2022-21990: vulnerabilidad de ejecución remota de código (RCE) del cliente de escritorio remoto. Esta vulnerabilidad del lado del cliente no debería afectar tanto a las organizaciones como una vulnerabilidad RDP del lado del servidor, pero su inclusión como conocida públicamente merece la atención de los equipos de SecOps, y debe ser reparada de inmediato. Este CVE tiene la puntuación CVSS más alta (8,8) de las tres fallas conocidas públicamente de este mes. En el caso de una conexión de Escritorio remoto, un atacante con control de un Servidor de Escritorio remoto podría desencadenar un ataque RCE en la máquina cliente RDP cuando una víctima se conecta al servidor atacante con el Cliente de Escritorio remoto vulnerable.
CVE-2022-24512: Vulnerabilidad de ejecución remota de código en .NET y Visual Studio. Calificada como Importante con un CVSS de 6.3, esta vulnerabilidad no requiere ningún tipo de privilegios para ser explotada; sin embargo, la explotación exitosa de esta vulnerabilidad requiere la interacción del usuario; en este caso, un usuario que activa la carga útil en la aplicación.
CVE-2022-24459: vulnerabilidad de elevación de privilegios del servicio de fax y escaneo de Windows. Esto afecta a todas las versiones de Microsoft Server y Windows 10 y no requiere interacción ni privilegios del usuario. Debido a que tiene una puntuación CVSS de 7,8 y hay disponible un código de explotación de prueba de concepto, ProtektNet recomienda considerar detenidamente esta vulnerabilidad.
Análisis de Riesgos Marzo 2022
Los tipos de ataque favorecidos por los adversarios en torno a los productos de Microsoft son comparables con el informe del martes de parches del mes pasado . Los tres principales tipos de ataques (ejecución remota de código, elevación de privilegios y divulgación de información) continúan dominando, con la denegación de servicio siguiendo solo el 5% (frente al 11% en febrero).
Figura 1. Desglose de los tipos de ataques del martes de parches de marzo de 2022
Sin embargo, las familias de productos afectadas han cambiado mucho desde el mes pasado. Si bien la familia dominante sigue siendo los productos de Windows, las herramientas para desarrolladores han ocupado el segundo lugar al recibir la mayor cantidad de parches, y los centros de sistemas y los productos de Microsoft Office no se quedan atrás. Recordará que las actualizaciones de seguridad extendidas (ESU) ocuparon la mayoría de las actualizaciones en febrero.
Figura 2. Desglose de las familias de productos afectadas por el parche del martes de marzo de 2022
Análisis de Riesgos Marzo 2022
Los tipos de ataque favorecidos por los adversarios en torno a los productos de Microsoft son comparables con el informe del martes de parches del mes pasado . Los tres principales tipos de ataques (ejecución remota de código, elevación de privilegios y divulgación de información) continúan dominando, con la denegación de servicio siguiendo solo el 5% (frente al 11% en febrero).
Vulnerabilidad RCE del servidor de Microsoft Exchange
CVE-2022-23277 se produce en el servidor Exchange de Microsoft y se clasifica como crítico.
Con esta vulnerabilidad, un atacante podría apuntar a las cuentas del servidor mediante la ejecución de código remoto o arbitrario. Como usuario autenticado, el atacante podría intentar activar un código malicioso en el contexto de la cuenta del servidor a través de una llamada de red. La puntuación CVSS para este CVE es 8,8, probablemente debido a su baja complejidad de ejecución. No sería sorprendente ver esta vulnerabilidad explotada en la naturaleza en los próximos meses.
Otra vulnerabilidad de Exchange Server, CVE-2022-24463, tiene una puntuación CVSS más baja de 6,5 y una clasificación de Importante. Esta falla podría permitir que un atacante autenticado vea el contenido del archivo en un servidor afectado. Microsoft ofrece muy poca investigación sobre los errores de suplantación de identidad en Defender para Endpoint y Visual Studio, aparte de que el error de Defender necesita información del entorno de destino y el error de Visual Studio requiere que el usuario abra un archivo.
Para obtener más información sobre la profundidad y el alcance de las vulnerabilidades críticas relacionadas con Microsoft Exchange Server, lea el lanzamiento del Análisis de parches de marzo de 2021.
Numerosas vulnerabilidades de Azure Site Recovery
Once CVE que afectan a Azure Site Recovery se destacan como posiblemente importantes para considerar en su estrategia de priorización de parches este mes. (Microsoft ofrece Azure Site Recovery como una recuperación ante desastres nativa como servicio, o DRaaS, que permite que los entornos continúen funcionando incluso durante las principales interrupciones de TI).
Un adversario puede aprovechar Azure Site Recovery llamando a las API proporcionadas por el servidor de configuración y, a su vez, obtener acceso a los datos de configuración, incluidas las credenciales de los sistemas protegidos. Con las API, el atacante también puede modificar o eliminar los datos de configuración, lo que a su vez afectará la operación de Site Recovery. El lanzamiento de este mes incluye correcciones para cinco vulnerabilidades de elevación de privilegios y seis de ejecución remota de código en la plataforma. Estos tienen puntajes CVSS que van de 6.5 a 8.1, aunque CVE-2022-24469 tiene el puntaje de gravedad más alto.
Revise las actualizaciones de parches del proveedor y la capa en su estrategia de mitigación
Puede ser obvio, pero es crucial verificar con todos los proveedores de su organización los parches que proporcionan; hacerlo podría marcar la diferencia entre pasar una pequeña cantidad de tiempo apuntalando las defensas o potencialmente tener un incidente importante. Hemos compartido lo que creemos que son los parches más relevantes que podrían afectar a las organizaciones, pero hay otros a considerar, incluidos los arreglos clasificados como críticos en las extensiones de video HEVC y VP9 de Microsoft (las actualizaciones se pueden encontrar en Microsoft Store). Si no está conectado a Internet, su equipo deberá aplicar manualmente estos parches.
Junto con este enfoque, revise periódicamente el marco de su plan de mitigación de vulnerabilidades. Si no lo ha revisado por un tiempo, tómese el tiempo para mirar su plan de acción para implementar y priorizar actualizaciones y mitigaciones. Revise las soluciones y herramientas que utiliza su equipo para revisar y abordar las vulnerabilidades. La gestión de riesgos solo puede ocurrir si hay una gestión y un mantenimiento regulares; de lo contrario, expone su organización a una variedad de amenazas.
Acerca de las puntuaciones CVSS
El Common Vulnerability Scoring System (CVSS) es un estándar de la industria abierto y gratuito que ProtektNet y muchas otras organizaciones de ciberseguridad utilizan para evaluar y comunicar la gravedad y las características de las vulnerabilidades del software. El puntaje base de CVSS varía de 0,0 a 10,0, y la base de datos nacional de vulnerabilidades (NVD) agrega una clasificación de gravedad para los puntajes de CVSS. Obtenga más información sobre la calificación de vulnerabilidades en este artículo .
