Microsoft publica 55 vulnerabilidades en su Patch Tuesday de mayo 2021

Microsoft publicó 55 vulnerabilidades de seguridad en su Patch Tuesday mensual, incluyendo vulnerabilidades de ejecución remota de código (RCE) que representaron el 40% de las vulnerabilidades parcheadas este mes, seguidas de Elevation of Privilege (EoP) con un 20%. 

Las vulnerabilidades abarcan una amplia gama de productos que en general incluyen parches para Microsoft Windows, Internet Explorer (IE), Microsoft Exchange Server, Microsoft Office, .NET Core y Visual Studio, SharePoint Server, Hyper-V, software de código abierto, Skype for Business y Microsoft Lync.

De las 55 CVE parcheadas por Microsoft en el Patch Tuesday de mayo 4 son clasificadas como críticas, 50 clasificadas como Importantes y 1 como Moderada.

Vulnerabilidades críticas

CVE-2021-31166: vulnerabilidad de ejecución remota de código de HTTP Protocol Stack.

CVE-2021-31166, un error que explota la pila de protocolos HTTP. Según Microsoft, los actores de amenazas pueden aprovechar esta vulnerabilidad para ejecutar código remoto malicioso con privilegios de tipo kernel enviando paquetes de red diseñados al servidor de destino. Lo que hace que este exploit sea aún más peligroso es que el atacante no necesita estar autenticado para activar la respuesta anómala del servidor. Esta vulnerabilidad calificada como crítica está cubierta por las últimas actualizaciones de Microsoft.

CVE-2021-28476 | Vulnerabilidad de ejecución remota de código de Hyper-V

Una vulnerabilidad RCE en Hyper-V que podría permitir que un atacante remoto no autenticado comprometa un host Hyper-V a través de una máquina virtual invitada (VM).

Esta vulnerabilidad fue calificada como “Explotación menos probable” con una puntuación CVSSv3 de 9,9.

CVE-2021-26419 Vulnerabilidad de corrupción de memoria en Scripting Engine

Un error de corrupción de memoria del motor de secuencias de comandos que afecta a IE11. Para aprovechar el error, un usuario tendría que visitar un sitio web controlado por un atacante, aunque también podría activarse al insertar controles ActiveX en los documentos de Office, según Microsoft.

CVE-2021-31194, Vulnerabilidad de RCE en OLE automation.

Días cero

Microsoft ha identificado y parcheado vulnerabilidades de día cero. Aún no se sabe nada sobre el estado de explotación, pero las investigaciones indican que ningún actor de amenazas ha hecho uso de estos vectores.

CVE-2021-31207 Microsoft: vulnerabilidad de omisión de la función de seguridad de Microsoft Exchange Server

CVE-2021-31207 solo está calificado como moderado, pero el exploit de omisión de la característica de seguridad se mostró de manera prominente en el concurso Pwn2Own y en algún momento podrían hacerse públicos.

El error de Microsoft Exchange Server identificado por terceros aprovecha una vulnerabilidad de Microsoft Exchange Server preexistente con el fin de eludir las funciones de seguridad y el control de acceso. La red se utiliza como principal vector de ataque. Dada la complejidad del ataque, el actor de la amenaza requeriría privilegios más altos para abusar de la vulnerabilidad. El problema está cubierto por las últimas actualizaciones de seguridad acumulativas de Microsoft.

CVE-2021-31200 - Ejecución remota de código de utilidades comunes

Una vulnerabilidad descubierta en Common Utilities podría haber facilitado la ejecución remota de código con fines de persistencia, movimiento lateral y exfiltración de datos. Dado que es un ataque basado en RCE, la red es el punto de entrada probable. Se requieren privilegios más altos para desencadenar acciones en objetivos asociados con CVE-2021-31200, privilegios que se pueden obtener a través de phishing u otros medios. Las últimas actualizaciones de Microsoft cubren a fondo esta vulnerabilidad calificada como importante.

CVE-2021-31204 : vulnerabilidad de elevación de privilegios de .NET y Visual Studio

Se espera que los actores de amenazas analicen los parches para crear exploits para las vulnerabilidades, especialmente la de Microsoft Exchange. Por lo tanto, es vital aplicar las actualizaciones de seguridad lo antes posible.

Otras vulnerabilidades (parcheadas) importantes:

• CVE-2021-31188 y CVE-2021-31170 son fallas de escalamiento de privilegios locales que existen en el componente de gráficos de Windows. Microsoft considera que estas dos vulnerabilidades tienen más probabilidades de ser explotadas por los actores de amenazas. Estas fallas de seguridad fueron descubiertas por el equipo de investigadores ZeroDayInitiative (ZDI).
• CVE-2021-31181: vulnerabilidad de ejecución remota de código de SharePoint
• Microsoft lanzó parches que abordan una vulnerabilidad crítica de RCE en SharePoint (CVE-2021-31181). Este CVE tiene una alta probabilidad de explotación y el proveedor le asigna una puntuación base CVSSv3 de 8,8.
• CVE-2020-24589: Vulnerabilidad de divulgación de información de redes inalámbricas de Windows: permite que un atacante 'vea' el contenido de paquetes de red inalámbrica cifrados.
• CVE-2021-27068: Vulnerabilidad de ejecución remota de código de Visual Studio: permite a un atacante activar la ejecución remota de código malicioso al obtener una respuesta anómala en Visual Studio 2019.
• CVE-2021-28476: vulnerabilidad de ejecución remota de código de Hyper-V. El atacante podría desencadenar la ejecución de código malicioso de forma remota mediante la aplicación de una sesión de depuración de nivel Hyper-V.

Fin del ciclo de vida (EOL) de Windows 10, versión 1909

Microsoft ha anunciado que Home y Pro Windows 10, versión 1909 y todas las ediciones de Windows Server, versión 1909 han llegado al final de su vida útil. Estas versiones ya no recibirán actualizaciones de seguridad y deben actualizarse lo antes posible. Las ediciones Education y Enterprise de Windows 10, versión 1909, seguirán siendo compatibles hasta el 11 de mayo de 2022.

Se recomienda lo siguiente:

• Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
• Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información.