Siendo fiel a su cita cada segundo martes de cada mes, los boletines de seguridad de Microsoft fueron publicados ayer, justo a las puertas de la Semana Santa, algo que seguramente no sea precisamente del agrado de la mayoría de administradores de sistemas en España. Además, en esta ocasión los parches solucionan diez vulnerabilidades consideradas como críticas y dos 0-day, uno de los cuales está siendo aprovechado activamente por atacantes.
Parches para dos 0-day y diez vulnerabilidades críticas
Los ataques que se aprovechan de vulnerabilidades para las que no existe un parche son especialmente peligrosos, puesto que se aprovechan de los sistemas vulnerables para conseguir su objetivo. En los boletines del mes de abril se han solucionado dos de estas vulnerabilidades, una de las cuales estaba siendo aprovechada activamente por atacantes.
Microsoft ya había tratado de solucionar esta vulnerabilidad en dos ocasiones anteriores, pero los atacantes habrían conseguido sortear los parches aplicados debido a errores existentes en ellos, tal y como habría informado algún investigador. Esta vulnerabilidad consiste en una elevación de privilegios en el driver del sistema Windows Common Log File y estaría siendo utilizada por algunos grupos APT, según informaron desde la NSA.
Además, en los boletines de seguridad recién publicados se han solucionado diez vulnerabilidades críticas, una de las cuales ha recibido una puntuación de 9.8 sobre 10 y que permitiría a un atacante remoto la ejecución de código con privilegios elevados en los sistemas vulnerables. Debido a que no se requiere la intervención del usuario para explotar esta vulnerabilidad, esto la convierte en altamente propagable, al menos entre aquellos sistemas a los que se pueda acceder desde el RPC.
No obstante, el puerto usado por esta vulnerabilidad (TCP 135) se encuentra normalmente bloqueado, aunque esto no impide que algunos atacantes puedan aprovechar este agujero de seguridad para realizar movimientos laterales dentro de una red una vez ya ha conseguido el compromiso inicial. Por ese motivo es importante parchearla cuanto antes.
Actualizaciones de otras empresas
No debemos olvidar que otras empresas además de Microsoft han publicado actualizaciones para sus productos recientemente. Adobe suele hacer coincidir el lanzamiento de sus parches con los de Microsoft y este mes ha publicado cuatro boletines que solucionan fallos de distinta gravedad en productos como Adobe Acrobat y Reader, Adobe Commerce, After Effects y Photoshop.
Google también lanzó recientemente sus parches de seguridad para el sistema operativo Android donde se solucionaban varios agujeros, algunos de los cuales podrían dar lugar a una escalada local de privilegios o la divulgación remota de información sin necesidad de privilegios de ejecución adicionales.
Cisco ha publicado varios boletines para sus productos que incluyen dos parches destinados a solucionar dos vulnerabilidades críticas, relacionadas con el descubrimiento reciente de otra vulnerabilidad crítica en el framework Spring conocida como Spring4Shell.
Conclusión
Sabemos de la complejidad de administrar estas actualizaciones de seguridad en entornos con múltiples equipos, más aun cuando nos encontramos a las puertas de uno de los puentes más largos del año, algo que puede retrasar la implementación de estos parches y que los atacantes los aprovechen. Por ese motivo es importante contar con una política eficaz de implementación de parches de seguridad, complementada con soluciones que permitan bloquear posibles intentos de aprovechamiento de estos agujeros de seguridad.
Mira a ver si esto que cambié está bien 😛