Los boletines de seguridad de Microsoft de junio solucionan varias vulnerabilidades 0-day que están siendo explotadas activamente

Sin faltar a su cita mensual, Microsoft ha publicado los parches correspondientes al mes de junio, en los que ha solucionado un total de 50 vulnerabilidades, un número bastante menor que el de meses anteriores pero que incluye parches para varias vulnerabilidades críticas que están siendo aprovechadas activamente por atacantes.

Vulnerabilidades 0-day parcheadas

A pesar de que el número total de vulnerabilidades solucionadas en los boletines de seguridad de este mes es alrededor de la mitad del observado en algunos meses anteriores, la criticidad de alguna de ellas y el hecho de que estén siendo aprovechadas activamente por delincuentes para comprometer sistemas hace que su instalación sea prioritaria para todo usuario de Windows.

Entre las vulnerabilidades que están siendo aprovechadas por atacantes encontramos las siguientes:

  • CVE-2021-31955 – Vulnerabilidad de revelación de información en el Kernel de Windows
  • CVE-2021-31956 – Vulnerabilidad de elevación de privilegios en Windows NTFS
  • CVE-2021-33739 – Vulnerabilidad de elevación de privilegios en Microsoft DWM Core Library
  • CVE-2021-31201 – Vulnerabilidad de elevación de privilegios en Microsoft Enhanced Cryptographic Provider
  • CVE-2021-31199 – Vulnerabilidad de elevación de privilegios en Microsoft Enhanced Cryptographic Provider
  • CVE-2021-33742 – Vulnerabilidad de ejecución remota de código en Windows MSHTML Platform

Además, se ha revelado la existencia de la vulnerabilidad CVE-2021-31968 que produce una denegación de servicio en los servicios RDP de Windows, aunque no se ha observado aún siendo utilizada en ataques.

Vulnerabilidades usadas en ataques

Como ya hemos alertado, es importante actualizar los sistemas vulnerables lo antes posible, puesto que se ha podido comprobar como algunas de las vulnerabilidades parcheadas en los boletines de este mes se han estado usando recientemente para realizar ataques.

Concretamente, el aprovechamiento de las vulnerabilidades CVE-2021-31955 y CVE-2021-31956 ha sido observado en ataques dirigidos protagonizados por el grupo PuzzleMaker. En estos ataques se usaron primero una cadena de exploits 0-day en el navegador Google Chrome para conseguir la ejecución remota de código en Windows.

Tras conseguir esta ejecución remota de código, los atacantes encadenaron las dos vulnerabilidades mencionadas de Windows para conseguir una elevación de privilegios en el dispositivo comprometido y desplegar una Shell remota, lo que les permitía subir y descargar ficheros, así como también ejecutar comandos.

Tal y como apunta el investigador español Sergio de los Santos, este tipo de vulnerabilidades de elevación de privilegios son muy apreciadas por los delincuentes y son más sencillas de encontrar en sistemas Windows que aquellas que permiten la ejecución remota de código. Mediante la explotación de estas vulnerabilidades, los atacantes pueden realizar movimientos laterales en redes corporativas para desplegar malware como ransomware, previo robo de la información confidencial que consideren interesante para realizar la posterior extorsión.

Conclusión

Como sucede todos los meses, es recomendable aplicar los parches de seguridad recién publicados por Microsoft lo antes posible. Entendemos que eso es más fácil de decir que hacer en aquellos entornos que cuentan con muchos equipos, pero el peligro que supone dejar la puerta abierta a los atacantes es lo suficientemente elevado como para no postergar estas actualizaciones durante mucho tiempo.

Josep Albors

Falsa actualización de Chrome app instala troyano bancario en dispositivos Android