Con los parches de mayo de 2022 de Microsoft llegaron las correcciones a 75 fallos, 8 críticos que permiten ejecución remota de código, 3 vulnerabilidades Zero-Day, con una siendo explotada activamente.
El número de errores en cada categoría de vulnerabilidad se enumera a continuación:
El número de errores en cada categoría de vulnerabilidad se enumera a continuación:
- 21 Vulnerabilidades de elevación de privilegios
- 4 Vulnerabilidades de omisión de funciones de seguridad
- 26 Vulnerabilidades de ejecución remota de código
- 17 Vulnerabilidades de divulgación de información
- 6 Vulnerabilidades de denegación de servicio
- 1 vulnerabilidad de suplantación de identidad
Zero-Day
De las tres vulnerabilidades Zero-Day, una está siendo explotada activamente y las otras dos han sido divulgadas públicamente.
La vulnerabilidad explotada activamente es para un nuevo ataque de retransmisión NTLM que usa una falla LSARPC identificada como CVE-2022-26925, y permiten la suplantación de LSA de Windows. “Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante mediante NTLM. Esta actualización de seguridad detecta intentos de conexión anónimos en LSARPC y los rechaza”, explica Microsoft en el aviso.
Con este ataque, los actores de amenazas pueden interceptar solicitudes de autenticación legítimas y usarlas para obtener privilegios elevados, incluso hasta el punto de asumir la identidad de un controlador de dominio. Microsoft recomienda a los administradores que lean el aviso de retransmisión NTLM de PetitPotam para obtener información sobre cómo mitigar este tipo de ataques.
Este CVE-2022-26925 es PetitPotam, una vulnerabilidad de LSA Spoofing y NTLM Relay publicada originalmente por @topotam77 en julio de 2021 y que fue solucionada de forma parcial por Microsoft con el CVE-2021-36942.
Aunque el escenario del ataque es complejo, los expertos advierten que no se debe minimizar el riesgo. Si bien la falla se considera importante y se le asignó una puntuación CVSSv3 de 8,1, si esta vulnerabilidad se encadena con otros ataques de NTLM Relay como PetitPotam, la puntuación CVSSv3 aumentaría a 9,8, elevando la gravedad de esta falla a crítica. Además de parchear, se recomienda consultar la KB5005413 para conocer las formas de mitigar los ataques de retransmisión NTLM contra los servicios de certificados de Active Directory.
Las dos vulnerabilidades públicas son una denegación de servicio en Hyper-V y una nueva vulnerabilidad de ejecución remota de código en Azure Synapse y Azure Data Factory.
La vulnerabilidad explotada activamente es para un nuevo ataque de retransmisión NTLM que usa una falla LSARPC identificada como CVE-2022-26925, y permiten la suplantación de LSA de Windows. “Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante mediante NTLM. Esta actualización de seguridad detecta intentos de conexión anónimos en LSARPC y los rechaza”, explica Microsoft en el aviso.
Con este ataque, los actores de amenazas pueden interceptar solicitudes de autenticación legítimas y usarlas para obtener privilegios elevados, incluso hasta el punto de asumir la identidad de un controlador de dominio. Microsoft recomienda a los administradores que lean el aviso de retransmisión NTLM de PetitPotam para obtener información sobre cómo mitigar este tipo de ataques.
Este CVE-2022-26925 es PetitPotam, una vulnerabilidad de LSA Spoofing y NTLM Relay publicada originalmente por @topotam77 en julio de 2021 y que fue solucionada de forma parcial por Microsoft con el CVE-2021-36942.
Aunque el escenario del ataque es complejo, los expertos advierten que no se debe minimizar el riesgo. Si bien la falla se considera importante y se le asignó una puntuación CVSSv3 de 8,1, si esta vulnerabilidad se encadena con otros ataques de NTLM Relay como PetitPotam, la puntuación CVSSv3 aumentaría a 9,8, elevando la gravedad de esta falla a crítica. Además de parchear, se recomienda consultar la KB5005413 para conocer las formas de mitigar los ataques de retransmisión NTLM contra los servicios de certificados de Active Directory.
Las dos vulnerabilidades públicas son una denegación de servicio en Hyper-V y una nueva vulnerabilidad de ejecución remota de código en Azure Synapse y Azure Data Factory.
- CVE-2022-22713: vulnerabilidad de denegación de servicio de Windows Hyper-V
- CVE-2022-29972: Insight Software: CVE-2022-29972 Magnitud Simba Amazon Redshift ODBC Driver
Actualizaciones recientes de otras empresas
Otros proveedores que lanzaron actualizaciones en mayo de 2022 incluyen:
- Google lanzó las actualizaciones de seguridad de mayo de Android, así como actualizaciones para ChromOS y Chrome.
- Cisco lanzó actualizaciones de seguridad para numerosos productos este mes.
- F5 lanzó actualizaciones de seguridad de BIG-IP para corregir una vulnerabilidad crítica explotada activamente.