Un martes de parches más ligero, pero cargado de fallos de ejecución remota de código

Microsoft ha publicado parches de septiembre con soluciones para 62 vulnerabilidades en nueve familias de productos de Microsoft.

Todos los parches, excepto dos, están clasificados como críticos o importantes, y la mayoría (36) afectan a Windows.

Sólo una vulnerabilidad de la versión, CVE-2022-37969, ha sido revelada públicamente. Se trata de una vulnerabilidad de elevación de privilegios en el controlador de Windows Common Log File System (CLFS) y, según Microsoft, es también el único fallo de la actualización de este mes que ha sido explotado.

Este mes hay cinco vulnerabilidades críticas, todas ellas de ejecución remota de código. Dos de ellas (CVE-2022-34700 y CVE-2022-35805) están en Microsoft Dynamics 365 (on-premises), y otras dos (CVE-2022-34721 y CVE-2022-34722) están en Windows Internet Key Exchange (IKE). La más destacada es la CVE-2022-34718, de la que hablamos con más detalle a continuación, que es una vulnerabilidad de ejecución remota de código no autenticada en Windows TCP/IP. Es el único fallo crítico que aparece como más probable de ser explotado (aunque no para las versiones de software más antiguas).

En cifras

  • Total de CVE de Microsoft: 62
  • Divulgados públicamente: 1
  • Explotados: 1
  • Explotación más probable: 7 (versiones de productos más antiguas y/o nuevas)
  • Gravedad
    • Crítica: 5
    • Importante: 56
    • Moderada: 1
    • Baja: 0
  • Impacto
    • Ejecución remota de código: 30
    • Elevación de privilegios: 17
    • Negación de servicio: 8
    • Revelación de información: 6
    • Evasión de funciones de seguridad: 1
Bar chart showing impact and severity for vulnerabilities in the September 2022 Patch Tuesday release
Figura 1: Las vulnerabilidades de ejecución remota de código constituyen la mayor parte de las cifras de este mes, ya que los cinco fallos críticos también son de ejecución remota de código

Productos

  • Windows: 36
  • Office: 7
  • OLE DB: 6
  • Controlador ODBC: 5
  • Azure: 1
  • Dynamics 365: 2
  • .NET 3
  • Defender: 1
  • DirectX: 1
Bar chart showing vulnerabilities in Microsoft product families in the September 2022 Patch Tuesday release
Figura 2: Al igual que en los dos meses anteriores, Windows constituye el grueso de las vulnerabilidades en septiembre, pero esta vez hay muchos menos fallos en Azure

Vulnerabilidades notables

Vulnerabilidad de ejecución remota de código en Windows TCP/IP (CVE-2022-34718)

Una de las cinco vulnerabilidades críticas de la actualización de este mes, CVE-2022-34718, es una  de ejecución remota de código no autenticada en Windows TCP/IP. El fallo se describe como de baja complejidad de ataque, y su explotación implica el envío de un paquete IPv6 manipulado a un nodo de Windows en el que esté activado IPSec. Esta vulnerabilidad parece afectar a varias versiones de Windows 7, 8.1, 10, 11 y Windows Server 2008, 2012, 2016, 2019 y 2022. Microsoft evalúa que la explotación es más probable para las últimas versiones del producto, pero menos probable con las versiones más antiguas. Otras dos vulnerabilidades críticas en la actualización de este mes (CVE-2022-34721 y CVE-2022-34722) también implican la ejecución remota de código como resultado del envío de un paquete IP elaborado a nodos de Windows con IPSec habilitado, aunque ambas vulnerabilidades se encuentran en el protocolo Windows Internet Key Exchange (IKE) (solo IKEv1).

Vulnerabilidades de ejecución remota de código en productos Office

El martes de parches de septiembre también incluye una serie de vulnerabilidades de ejecución remota de código de Office, con varios fallos en SharePoint (todos los cuales requieren autenticación y permisos adecuados), uno en PowerPoint (CVE-2022-37962) y dos en Visio (CVE-2022-37963 y CVE-2022-38010). Estos tres últimos fallos están calificados como Importantes, pero con una explotación menos probable. El vector de ataque para estos es local, según las métricas CVSS, ya que la explotación de las propias vulnerabilidades se produce localmente. Un atacante remoto podría enviar un archivo manipulado a una víctima, lo que llevaría a un ataque local en la máquina de la víctima, por lo que se requiere alguna interacción del usuario.

Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows (CVE-2022-37969)

Este fallo, que si se explota con éxito elevaría los privilegios de un atacante a SISTEMA, se encuentra en el controlador CLFS de Windows. Microsoft ha detectado la explotación contra la última versión del producto, y dice que este fallo ha sido revelado públicamente, con baja complejidad de ataque y sin necesidad de interacción del usuario. Aunque no se conoce el vector de ataque específico, una vulnerabilidad de elevación de privilegios anterior en CLFS (CVE-2021-31954) se debía a una falta de validación adecuada de la longitud de los datos suministrados por el usuario, lo que daba lugar a un desbordamiento del búfer. Otro fallo de elevación de privilegios en CLFS, CVE-2022-35803, aparece en la versión de este mes, pero no ha sido explotado.

Vulnerabilidades de elevación de privilegios en el núcleo de Windows (CVE-2022-37956 y CVE-2022-37957)

Por último, la versión de este mes incluye dos vulnerabilidades de elevación de privilegios del kernel, CVE-2022-37956 y CVE-2022-37957. Microsoft considera que esta última tiene más probabilidades de ser explotada, pero ambas tienen una complejidad de ataque baja y no requieren la interacción del usuario. La explotación exitosa de cualquiera de los dos fallos haría que un atacante obtuviera privilegios de SISTEMA.

Bar chart showing impact and severity for cumulative vulnerabilities in 2022 Patch Tuesday releases
Figura 3: Las vulnerabilidades de elevación de privilegios siguen a la cabeza a medida que nos adentramos en el último trimestre de 2022, aunque los fallos de ejecución remota de código se están poniendo al día, con un mayor porcentaje de calificaciones críticas

Como cada mes, si no quieres esperar a que tu sistema cargue las actualizaciones por sí mismo, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación de tu sistema.

Escrito por Sophos Iberia

Solicita información gratis

Rellena este formulario o llámanos al 911 92 35 00