Patch Tuesday de Noviembre de Microsoft corrige 55 vulnerabilidades incluidos 6 días cero

El martes de parches de noviembre de 2021 corrige 55 vulnerabilidades que abordan vulnerabilidades como Elevación de privilegios (20), Omisión de funciones de seguridad (2), Ejecución remota de código (15), Divulgación de información (10), denegación de servicio (3) y Spoofing (4). Al menos estarían incluidas 6 vulnerabilidades de día cero, dos de las cuales se están explotando activamente, según Microsoft.

Las vulnerabilidades abarcan una amplia gama de productos que en general incluyen parches para Microsoft Windows, y componentes de Windows, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (basado en Chromium), Exchange Server, Microsoft Office y componentes de Office, Windows Hyper-V, Windows Defender y Visual Studio.

De las 55 CVE parcheadas por Microsoft en el Patch Tuesday de noviembre, 6 son clasificadas como Críticas y 49 clasificadas como Importantes.

Las vulnerabilidades de elevación de privilegios (EoP) representaron el 37% de las vulnerabilidades parcheadas este mes, seguidas por las vulnerabilidades de ejecución remota de código (RCE) con un 27,8%.

Vulnerabilidades zero‑day

Microsoft, ofrece correcciones para seis vulnerabilidades de día cero dos de las cuales estarían siendo explotadas activamente contra Microsoft Exchange y Microsoft Excel.

Las vulnerabilidades explotadas activamente solucionadas este mes son:

CVE-2021-42292
Vulnerabilidad de omisión de la función de seguridad de Microsoft Excel

Este error fue descubierto por el Centro de inteligencia de amenazas de Microsoft y se ha utilizado activamente en ataques maliciosos, pero en este momento no se ha publicado más información sobre la vulnerabilidad o las explotaciones detectadas. Microsoft señala específicamente que el Panel de vista previa no es un vector de ataque para esta vulnerabilidad, lo que significa que la víctima necesitaría abrir un documento de Excel malicioso para que se produzca la explotación. Microsoft señala que los parches para Office para Mac aún están en curso.

CVE-2021-42321
Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server

La falla existe debido a la validación incorrecta de los argumentos command-let (cmdlet). Para aprovechar esta vulnerabilidad, un atacante debería estar autenticado en un servidor Exchange vulnerable. 

Microsoft dice que están al tanto de "ataques dirigidos limitados" que utilizan esta vulnerabilidad. internet. Además, esta parece ser la misma vulnerabilidad en Exchange Server que se aprovechó en la Copa Tianfu, un concurso de ciberseguridad chino el mes pasado.

Otras cuatro vulnerabilidades divulgadas públicamente:

CVE-2021-38631 y CVE-2021-41371
Vulnerabilidad de divulgación de información del Protocolo de escritorio remoto de Windows (RDP)

Si un atacante puede tomar el control de una cuenta con privilegios de administrador del servidor RDP, podría aprovechar CVE-2021-41371 o CVE-2021-38631 para leer las contraseñas de los clientes RDP de Windows. El atacante necesitaría controlar un servidor de escritorio remoto antes de la explotación.

CVE-2021-43208 y CVE-2021-43209
Vulnerabilidad de ejecución remota de código del visor 3D

Son vulnerabilidades de RCE que se encuentran en 3D Viewer, un visor de objetos 3D y una aplicación de realidad aumentada para Windows. Según Microsoft, estas vulnerabilidades se han divulgado públicamente y se atribuyen a Mat Powell de Trend Micro Zero Day Initiative. Si bien no hay detalles adicionales disponibles en este momento, el aviso de Microsoft señala que los clientes afectados deben recibir actualizaciones automáticamente desde Microsoft Store. Los clientes que tengan las actualizaciones automáticas deshabilitadas deberán tomar medidas para recibir esta actualización.

Vulnerabilidades Críticas

CVE-2021-42316
Vulnerabilidad de ejecución remota de código de Microsoft Dynamics 365 (on-premises) 

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino. La vulnerabilidad existe debido a una validación de entrada incorrecta en Microsoft Dynamics 365 (local). Un atacante autenticado de forma remota puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

Productos vulnerables:

• Microsoft Dynamics 365 (on-premises) version 9.1

CVE-2021-3711
OpenSSL: CVE-2021-3711 Buffer Overflow de descifrado SM2

Una falla crítica de desbordamiento de búfer en la función de descifrado SM2 de OpenSSL que salió a la luz a fines de agosto de 2021 y que los adversarios podrían abusar para ejecutar código arbitrario y causar una denegación de condición de servicio (DoS).

Productos afectados

• Visual Studio: versión 15.9 de 2017, versión 16.7 de 2019, versión 16.9 de 2019, versión 16.11 de 2019

CVE-2021-42298
Vulnerabilidad de ejecución remota de código de Microsoft Defender

Este es un error crítico en Microsoft Defender que los atacantes pueden aprovechar para ejecutar de forma remota código malicioso en sistemas vulnerables. Asimismo, ha sido catalogada como “más probable de explotación” por Microsoft agregando que Windows Defender se ejecuta en todas las versiones compatibles de Windows, por lo que la vulnerabilidad aumenta significativamente la superficie de ataque potencial para las organizaciones.

Este CVE requiere cierta interacción del usuario; sin embargo, hemos visto en el pasado cómo los atacantes pueden usar correos electrónicos de ingeniería social / phishing para lograr dicha interacción con bastante facilidad.

Productos afectados

• Motor de protección contra malware de Microsoft: todas las versiones

CVE-2021-38666
Vulnerabilidad de ejecución remota de código del cliente de escritorio remoto

Una vulnerabilidad RCE en el cliente de escritorio remoto que recibió una puntuación CVSSv3 de 8.8. Esta puede explotarse cuando una máquina víctima se conecta a un servidor de escritorio remoto controlado por un atacante, lo que permite al atacante ejecutar código arbitrario en la máquina de la víctima. Si bien no parece existir ningún exploit público en este momento, Microsoft ha designado este defecto como "Explotación más probable" según el índice de explotación de Microsoft. El atacante necesitaría controlar un servidor de escritorio remoto antes de la explotación

Productos vulnerables:

• Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, 11 21 H2, RT 8,1
• Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

CVE-2021-42279
Vulnerabilidad de corrupción de memoria del Chakra Scripting Engine

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un error de límite en Chakra Scripting Engine. Un atacante remoto puede provocar daños en la memoria y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Productos vulnerables:

• Windows Server: 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004
• Windows: 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, 11 21H2

CVE-2021-26443
Vulnerabilidad de ejecución remota de código de Microsoft Virtual Machine Bus (VMBus)

Un usuario de una máquina virtual invitada puede enviar una comunicación especialmente diseñada en el canal VMBus al sistema operativo del host que podría resultar en la ejecución de código arbitrario en el host subyacente.

Productos vulnerables:

• Windows: 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, 11 21H2
• Windows Server: 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Vulnerabilidades Importantes

Junto con las vulnerabilidades críticas y las que están siendo explotadas activamente, Microsoft abordó otras 43 fallas de seguridad clasificadas como importantes con parches para una serie de vulnerabilidades de escalada de privilegios que afectan a NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283), Windows Kernel (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Windows Desktop Bridge (CVE-2021-36957) y Controlador del sistema de archivos Fast FAT de Windows (CVE-2021-41377).

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.