Patchday de julio: CVE para Exchange, Print Spooler y DNS están llegando

En la última edición de Patch Tuesday, Microsoft ha cerrado un total de 117 agujeros de seguridad. Algunos de ellos están siendo explotados activamente en la actualidad. Los programas parcheados también incluyen una vulnerabilidad crítica en Microsoft Exchange.

Un total de 117 vulnerabilidades recibieron un parche de seguridad esta semana. Eso es más parches nuevos que en los últimos dos meses combinados, según un  análisis de Zero Day Initiative . Algunas de las vulnerabilidades que ahora se han solucionado están siendo explotadas activamente por los delincuentes.  

Vulnerabilidades en Exchange

Cuando se trata de vulnerabilidades de seguridad en Microsoft Exchange, se despiertan los recuerdos del grupo Hafnium y de los retrasos en el período previo a la publicación. Por lo tanto, debería ser un cambio agradable para algunos que el agujero de seguridad ahora parcheado se descubrió durante una competencia de piratería ( Pwn2Own ). La vulnerabilidad que se encuentra aquí permite que cualquier código de programa se ejecute de forma remota. 

Administradores bajo presión

No es nada nuevo que las impresoras sean a veces blanco de ataques interesantes. Pero un total de cuatro vulnerabilidades recién descubiertas, que se denominaron conjuntamente “PrintNightmare” (en alemán: pesadilla de impresión), son tan críticas que Microsoft lanzó un parche de emergencia para ellas hace dos semanas. Estas brechas de seguridad también permiten la adquisición completa de un sistema a distancia. Actualmente se están explotando activamente, por lo que se requiere una gran velocidad.

El problema: Se acumularon rápidamente informes de que el parche de emergencia no funcionaba . Según Microsoft, el parche funciona bien, pero eso requiere una configuración correcta del sistema. El componente problemático es el denominado spooler de impresión. Esto debería desactivarse para dificultar la explotación de la vulnerabilidad. 

Vulnerabilidades del kernel

Esta vez también se incluye un exploit del kernel. Windows Server Core sin parches: las instalaciones de las versiones 2004, 2016, 2019 y 20H2 tienen una vulnerabilidad que permite la manipulación de los recursos SR-IOV. Esta también es una vulnerabilidad de RCE (ejecución remota de código). Estos recursos ni siquiera tienen que asignarse a un usuario; es suficiente si pertenecen a un usuario invitado. 

DNS

También se ha corregido la ejecución remota de código en un servidor DNS. Sin embargo, al menos esta vez, esta laguna “solo” afecta a los servidores en los que también está instalada la función de servidor DNS. El último agujero de seguridad serio de magnitud similar en el servidor DNS de Microsoft se conoció hace un año . En ese momento se encontró que esta vulnerabilidad tenía un total de 17 años. 

Recomendación

Los administradores necesitan instalar urgentemente al menos los parches más críticos lo antes posible.
Cuanto más tiempo pase, mayor será la probabilidad de que los atacantes comprometan un sistema. En las primeras horas y días posteriores a la publicación de un parche, los delincuentes buscan específicamente sistemas potencialmente vulnerables. Esto es particularmente problemático si un parche cierra un agujero RCE. En este caso, un acceso insuficientemente seguro a la red a la que se puede acceder desde Internet o un clic descuidado en un correo electrónico es suficiente para desencadenar un incidente de seguridad.

Enlace: https://www.gdata.de/blog/patch-tuesday-juli-exchange-dns-print-nightmare Blog de G DATA Tim Berghoff