in

Microsoft corrige errores de día cero en el controlador Win32



Microsoft lanzó parches para más de 70 vulnerabilidades de seguridad el martes, incluido un error crítico de escalada de privilegios en el controlador Win32k que un conocido grupo de amenazas en idioma chino ha estado explotando en ataques dirigidos contra compañías de defensa, compañías de TI e instituciones diplomáticas desde al menos Agosto.

Las actualizaciones de seguridad de Microsoft para octubre también incluyeron correcciones para otros tres errores informados públicamente y una vulnerabilidad de Exchange Server informada por la Agencia de Seguridad Nacional de EE. UU. (NSA) a la empresa. Actualmente se sabe que ninguno de estos errores se explota activamente.

CVE-2021-40449, el error explotado en la naturaleza, es una de las llamadas vulnerabilidades de uso después de libre en el controlador del kernel de Win32k que ofrece a los actores de amenazas una forma de extender los derechos en una computadora con Windows comprometida. La falla no se puede explotar de forma remota. Kaspersky descubrió la amenaza de día cero cuando investigaba ataques en varios servidores de Windows entre finales de agosto y principios de septiembre de 2021. El análisis del malware utilizado en los ataques por parte del proveedor de seguridad mostró que formaba parte de una amplia campaña de ciberespionaje. contra empresas de múltiples sectores.

Kaspersky está rastreando la campaña como un «MysterySnail» y transmitiéndola a un actor de amenazas llamado IronHusky y la actividad en chino de 2012 con amenazas persistentes avanzadas.

Boris Larin, investigador de seguridad de Kaspersky, describe la vulnerabilidad como fácilmente explotable y permite a los atacantes obtener el control total de un sistema vulnerable después de haberse afianzado por primera vez. «Una vez explotados con éxito, los atacantes pueden hacer básicamente lo que quieran: robar datos de autenticación, atacar otras máquinas y servicios dentro de una red y lograr la persistencia», dice Larin.

Actualmente, el código de explotación para la vulnerabilidad no está disponible públicamente y solo se ha observado que el grupo IronHusky lo usa. Sin embargo, el hecho de que se esté explotando activamente el error significa que las empresas deberían instalar el parche de Microsoft lo antes posible, dice Larin. «[The] El punto débil radica en el controlador del kernel de Win32k, que es un componente esencial del sistema operativo. Así que, lamentablemente, no existen soluciones para este error «, dice.

Jake Williams, cofundador y director de tecnología de BreachQuest, dice que las empresas no deben subestimar la amenaza que representa el error Win32k para su entorno simplemente porque no se puede explotar de forma remota. Los actores de amenazas obtienen acceso regularmente a las máquinas objetivo a través de ataques de phishing, y vulnerabilidades como CVE-2021-40449 les permiten eludir los controles de los terminales y evadir la detección de manera más efectiva.

«Dado que el código para esto ya ha sido convertido en un arma por un actor de amenazas, deberíamos esperar que otros lo utilicen como un arma más rápidamente, ya que ya hay un código de explotación de muestra con el que trabajar», dice Williams.

Errores divulgados públicamente
Otras tres vulnerabilidades de la actualización del parche de octubre de Microsoft que han recibido cierta atención porque se hicieron públicas antes de que los parches estuvieran disponibles hoy son CVE-2021-40469, CVE-2021-41335 y CVE-2021 -41338. CVE-2021-40469 es un error al ejecutar código remoto en el servidor DNS de Windows. Microsoft ha declarado que es probable que las vulnerabilidades exitosas contra el error tengan un impacto importante en la confidencialidad, disponibilidad e integridad de los datos. El error representa una amenaza si el servidor de destino está configurado como servidor DNS. Sin embargo, las posibilidades de explotación son escasas, dijo Microsoft.

Williams de BreachQuest está de acuerdo en que es probable que el error sea difícil de armar. Pero el hecho de que los servidores DNS normalmente se ejecutan en controladores de dominio lo convierte en un problema extremadamente grave, dice. “Un actor de amenazas que recibe la ejecución remota de código en un controlador de dominio probablemente reciba privilegios de administrador de dominio de inmediato. En el mejor de los casos, está a un paso de convertirse en administrador de dominio. [privileges]», El lo nota.

CVE-2021-41335, por otro lado, es un error de escalada de privilegios en el kernel de Windows, mientras que CVE-2021-41338 es un error para omitir funciones de seguridad en el firewall de Windows AppContainer. Aunque ambos errores se dieron a conocer al público antes de los parches de hoy y, por lo tanto, son vulnerabilidades de día cero, Microsoft estima que la probabilidad de explotación de los errores es baja.

Advertencia de la NSA
El error de Exchange Server que la NSA informó a Microsoft (CVE-2021-26427) es el último de una lista cada vez mayor de vulnerabilidades críticas que los investigadores descubrieron en Exchange Server este año. Los atacantes ya tendrían que estar en la red de un objetivo para aprovechar la vulnerabilidad. Según Microsoft, se puede aprovechar si un atacante está utilizando la misma red física o local que el objetivo o si ya se encuentra en un dominio administrativo seguro o restringido.

La actualización del parche de octubre de Microsoft también incluyó un parche para otra vulnerabilidad en la tecnología de cola de impresión de la compañía. El error más reciente (CVE-2021-36970) es una vulnerabilidad de suplantación de identidad en la cola de impresión que Microsoft ha descrito como algo que es más probable que exploten los atacantes. Los errores anteriores en Print Spooler, incluida una serie de errores conocidos como PrintNightmare, han creado una preocupación significativa sobre el daño potencial que un atacante podría hacer si fueran explotados.

Algunas de las correcciones de Microsoft para los errores de la cola de impresión han aumentado las preocupaciones tecnológicas.

«Si bien Microsoft proporcionó una solución en su actualización de septiembre de 2021, el parche provocó una serie de problemas de gestión», dijo Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows. «Con ciertas impresoras, los usuarios han tenido que ingresar sus credenciales administrativas repetidamente cada vez que una aplicación intenta imprimir o un cliente se conecta a un servidor de impresión», dice.

Otros problemas, agrega, están relacionados con los registros de eventos, que registran los mensajes de error y evitan que los usuarios realicen impresiones simples.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Martes de parches, edición de octubre de 2021 – Krebs on Security

7 El mejor software de chat en vivo de código abierto para hablar con sus clientes