Debes actualizar tu computadora con Windows inmediatamente para parchear vulnerabilidades críticas
El martes recién pasado, Microsoft envió soluciones para cuatro vulnerabilidades de día cero (zero-day). Una de estas vulnerabilidades está siendo explotada en una campaña de espionaje de gran alcance que infecta los servidores de Windows con el malware MysterySnail.
Microsoft reportó un total de 74 vulnerabilidades, tres de las cuales se consideran críticas.
Exploits para la vulnerabilidad de Win32K
Los investigadores de seguridad señalaron que CVE-2021-40449, una vulnerabilidad de elevación de privilegios en Win32k, es la más importante. Esta se destaca entre la multitud de parches, dado que se ha explotado en el entorno como un día cero.
Hace unos meses, los investigadores de Kaspersky descubrieron que el exploit se estaba utilizando para elevar los privilegios. Asimismo, para tomar el control de servidores de Windows como parte de una campaña de la amenaza persistente avanzada (APT) de habla china IronHusky.
La cadena de exploits termina con la instalación de un troyano de acceso remoto (RAT) recién descubierto llamado MysterySnail en servidores comprometidos. El objetivo del troyano es claro: robar datos.
Bharat Jogi, gerente senior de investigación de vulnerabilidades y amenazas de Qualsys, dijo que es importante actualizar. MysterySnail tiene el potencial de recopilar y exfiltrar información del sistema de hosts comprometidos. Además, otros usuarios malintencionados tienen la capacidad de obtener un control completo del sistema afectado y lanzar más ataques.
Consecuencias de la explotación
Este tipo de ataques de elevación de privilegios se pueden utilizar para acceder más allá de lo que permitiría el contexto de usuario actual del dispositivo. Es decir, permite a los atacantes realizar acciones no autorizadas, eliminar o mover datos, ver información privada o instalar software malintencionado.
Esta vulnerabilidad, calificada como Importante, se encuentra en todas las versiones compatibles de Windows.
La vulnerabilidad probablemente se esté utilizando junto con la ejecución remota de código (RCE) y/o los ataques de ingeniería social. Esto para obtener un control más completo de los sistemas específicos.
Las vulnerabilidades de elevación de privilegios son más valiosas en escenarios posteriores al compromiso. Una vez que un atacante ha obtenido acceso a un sistema destino a través de otros medios, puede ejecutar código con privilegios elevados.
Todo esto apunta a priorizar este parche, particularmente dado lo comunes que son estas vulnerabilidades en las cadenas de ataques de ransomware. Obtener este nivel de acceso en un host comprometido es el primer paso para convertirse en un administrador de dominio y asegurar el acceso completo a una red.
Casi todos los ataques de ransomware reportados este año han incluido el uso de una o más vulnerabilidades de escalada de privilegios como parte del flujo de trabajo del atacante.
Una solución de PrintNightmare para arreglar la otra solución de PrintNightmare
Otras correcciones lanzadas incluyen aquellas que abordan parches relacionados con Print Spooler. Ha habido un flujo constante de estos parches para vulnerabilidades en Windows Print Spooler luego de la divulgación en junio de la vulnerabilidad PrintNightmare. PrintNightmare es una vulnerabilidad que permitió a los atacantes realizar la ejecución remota de código (RCE) y obtener privilegios del sistema local.
El lanzamiento de este mes incluye una solución para CVE-2021-36970. CVE-2021-36970 es una vulnerabilidad de suplantación de identidad en Windows Print Spooler de Microsoft que tiene una puntuación CVSSv3 de 8.8.
La solución de la vulnerabilidad de suplantación de identidad que Microsoft lanzó hoy está destinada a solucionar los problemas que han introducido los parches anteriores.
Si bien Microsoft proporcionó una solución en su actualización de septiembre de 2021, el parche provocó una serie de problemas de administración. Algunas impresoras requerían que los usuarios ingresaran repetidamente sus credenciales de administrador cada vez que una aplicación intentaba imprimir o un cliente se conectaba a un servidor de impresión.
Otros problemas incluían registros de eventos que registraban mensajes de error y negaban a los usuarios la capacidad de realizar impresiones básicas. Como resultado, es probable que muchos se hayan saltado la actualización debido a su impacto operativo, dejando en última instancia el riesgo que representa PrintNightmare.
Esta vulnerabilidad fue descubierta por los investigadores XueFeng Li y Zhiniang Peng de Sangfor. A ellos también se les atribuyó el descubrimiento de CVE-2021-1675, una de las dos vulnerabilidades conocidas como PrintNightmare.
Si bien no se han compartido públicamente detalles sobre la vulnerabilidad, esta es definitivamente una a tener en cuenta, ya que vimos un flujo constante de vulnerabilidades relacionadas con Print Spooler parcheadas hace unos meses. Esto ocurrió mientras los grupos de ransomware comenzaron a incorporar PrintNightmare en su arsenal.
Vulnerabilidad de ejecución remota de código (RCE) afecta a Microsoft Office
Otra vulnerabilidad que vale la pena señalar es CVE-2021-40486. CVE-2021-40486 es una vulnerabilidad crítica que afecta a Microsoft Office y algunas versiones de SharePoint. Estas se pueden explotar a través del Panel de vista previa.
La vulnerabilidad no es nueva para Microsoft, con varios otros CVE similares documentados este año. En este caso, la vulnerabilidad RCE existe en algunas aplicaciones de Microsoft cuando no pueden administrar correctamente los objetos en la memoria.
Con una complejidad de ataque baja, esta vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado. El archivo puede ser enviado por correo electrónico o mediante un sitio web. Y, puede estar alojado por el atacante o mediante un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario.
Un atacante que explote con éxito esta vulnerabilidad puede utilizar este archivo para realizar acciones en el contexto del usuario actual. Por ejemplo, el archivo podría realizar acciones en nombre del usuario que inició sesión con los mismos permisos que el usuario actual.
Vulnerabilidad RCE en Microsoft SharePoint
La vulnerabilidad identificada como CVE-2021-40487, calificada con 8.1 sobre 10 y marcada como “más probable de explotación”, será más difícil de explotar para un atacante. Esto porque requiere un usuario autenticado en el dominio.
Pero obtener RCE en un servidor de SharePoint abre muchas vías para una mayor explotación.
Los servidores internos de SharePoint se utilizan a menudo para alojar documentos confidenciales de la empresa y proporcionar una intranet para que el personal interactúe. Si un atacante pudiera manipular el contenido de estos artículos o reemplazar documentos válidos con documentos maliciosos, podría robar credenciales o engañar a los usuarios objetivo para que instalen malware adicional.
Grave vulnerabilidad en Microsoft Exchange Server
CVE-2021-26427, una vulnerabilidad en Exchange Server, se lleva el primer lugar de gravedad este mes, con una puntuación CVSS de 9.0 sobre 10. A pesar de esta alta clasificación de gravedad, Microsoft lo ha marcado como “menos probable de explotación”, quizás debido al “vector adyacente de red”.
Es decir, un atacante necesitaría acceder a tu red para aprovechar esta vulnerabilidad. Los servidores de correo electrónico siempre serán objetivos codiciados, simplemente debido a la cantidad de datos contenidos en los correos electrónicos. Asimismo, por la variedad de posibles formas en que los atacantes podrían usarlos con fines maliciosos.
Esta es una vulnerabilidad notable, aunque está mitigada por el hecho de que los ataques se limitan a una ‘topología lógicamente adyacente. Esto significa, en otras palabras, que no se puede explotar directamente a través del Internet público.
Windows Hyper-V
Los administradores de virtualización deben prestar atención a dos RCEs que afectan a Windows Hyper-V: CVE-2021-40461 y CVE-2021-38672. Las vulnerabilidades afectan a versiones relativamente nuevas de Windows y se consideran críticas.
Windows Hyper-V es un hipervisor nativo que puede crear y ejecutar máquinas virtuales (VM) en sistemas x86-64 que ejecutan Windows. Estas dos vulnerabilidades permiten que una máquina virtual se escape de un huésped a otro al desencadenar un error de asignación de memoria, lo que le permite leer la memoria del kernel en el host.
La explotación de estas vulnerabilidades podría permitir que una máquina virtual invitada malintencionada lea la memoria del kernel en el host.
Ninguna vulnerabilidad ha sido explotada públicamente y la explotación es menos probable. Sin embargo, las organizaciones que usan Hyper-V deben parchear estas vulnerabilidades lo antes posible.
Vulnerabilidad en el administrador del dominio
Hay una vulnerabilidad que supera su rango de peso: la vulnerabilidad de ejecución remota de código (RCE) del servidor DNS que se identifica como CVE-2021-40469.
Su calificación de gravedad de puntaje base es 7.2, pero su complejidad de ataque es baja y un ataque se puede lanzar de forma remota. Sin embargo, la explotación requiere lo que VulDB llama “un nivel mejorado de autenticación exitosa”.
Incluso si eso dificulta su armamento, esta vulnerabilidad todavía es potencialmente súper desagradable, dado que, por un lado, se ha revelado públicamente en una prueba de concepto, y también que los servidores DNS se encuentran en un lugar tan crucial.
Esta no es la primera vez que Microsoft ha tenido que pisotear una vulnerabilidad RCE en el servidor DNS este año, incluso en las actualizaciones de marzo. Esta vez, la vulnerabilidad afecta a varias versiones de Windows 7, 8.1 y 10, así como a Windows Server.
Vulnerabilidad de elevación de privilegios del kernel de Windows
CVE-2021-41335, una vulnerabilidad de elevación de privilegios que existe cuando el kernel de Windows no puede administrar correctamente los objetos en la memoria, tiene una clasificación de gravedad alta. Además, se ha divulgado públicamente en una prueba de concepto (PoC). El PoC muestra cómo una explotación exitosa podría permitir que un atacante ejecute código arbitrario en modo kernel.
La explotación permitiría a un atacante instalar programas; ver, cambiar o eliminar datos; o crear cuentas con todos los permisos de usuario. Para aprovechar esta vulnerabilidad, se necesitan un par acciones necesarias. Un atacante primero tendría que iniciar sesión en el sistema y luego ejecutar una aplicación especialmente diseñada para tomar el control del sistema.
Evasión de la función de seguridad de las reglas de firewall de Windows AppContainer
Identificada como CVE-2021-41338, esta vulnerabilidad es, nuevamente, de alta gravedad. Permite que un atacante evite las reglas de seguridad del Firewall de Windows AppContainer.
Los AppContainers están diseñados para proteger contra la infiltración de aplicaciones de terceros. Básicamente, aíslan el entorno de ejecución de las aplicaciones con el objetivo de bloquear el código malicioso.
Esta vulnerabilidad da como resultado la pérdida de confidencialidad y puede explotarse sin la interacción del usuario.
Un atacante exitoso que aproveche esta vulnerabilidad podría ejecutar código arbitrario, pero necesita tener privilegios administrativos antes de poder explotarlo de manera significativa.
Sin embargo, todavía existe un riesgo significativo porque no se requiere la interacción del usuario y no se requieren condiciones especiales para que un ataque tenga éxito.
No hay informes de que la vulnerabilidad haya sido explotada activamente, todavía.
¿Cómo priorizar?
Un investigador afirmó no que quiere sonar como un disco rayado, pero aun así repite lo que dicen los expertos en seguridad: “debemos parchear inmediatamente”.
Eso es particularmente cierto para la amenaza de MysterySnail. En serio, este no es un parche que debemos retrasar. Los actores de amenazas están explotando activamente la vulnerabilidad de CVE-2021-40449 para elevar los permisos de usuario a administrador en sistemas comprometidos. Si bien CVE-2021-40449 no permite la explotación remota, eso no significa que pueda tomarse a la ligera. Los actores de amenazas obtienen acceso regularmente a las máquinas de destino utilizando ataques de phishing y vulnerabilidades como CVE-2021-40449. Estas vulnerabilidades les permiten evadir de manera más efectiva los controles de los equipos y evadir la detección.
Además, el éxito de MysterySnail en convertir esta vulnerabilidad en un arma significa que pronto seguirán otras APTs. Debido a que el código para la vulnerabilidad ya fue desarrollado por un actor de amenazas, deberíamos esperar verlo en acción por otros más rápidamente porque ya existe código de explotación de muestra en el entorno para trabajar.
Por otra parte, expertos recomienda priorizar las tres vulnerabilidades críticas de ejecución remota de código: CVE-2021-40469, CVE-2021-26427 y CVE-2021 -40487, que afectan a una amplia gama de versiones de Windows.
Estas vulnerabilidades no solo tienen una calificación CVSS de alta a crítica, sino que dos de los tres ataques (CVE-2021-40487, CVE-2021-40469) se pueden ejecutar de forma remota. Los ataques de ejecución remota de código (RCE) son especialmente devastadores porque una vez que se ejecuta el exploit, [los atacantes] pueden lanzar cualquier tipo de ciberataque, incluido el ransomware.
A manera de conclusión, debes saber que tratar de mitigar las acciones del atacante después de haber obtenido acceso es significativamente más difícil que detener las acciones que llevaron al éxito.
