En los boletines de seguridad correspondientes al mes de noviembre que Microsoft acaba de publicar se han corregido un total de 55 vulnerabilidades en varios productos. Dos de los agujeros de seguridad que acaban de ser solucionados están siendo usados activamente por atacantes, agujeros que se añaden a otros cuatro que ya habían sido revelados antes de la publicación de estos parches y que podrían haber proporcionado información acerca de cómo explotar estas vulnerabilidades a los delincuentes.
Vulnerabilidades críticas en Exchange y Excel
La primera de las dos vulnerabilidades críticas solucionadas que está siendo aprovechada activamente por atacantes afecta a Microsoft Exchange Server y permitiría a un atacante autenticado la ejecución remota de código en servidores vulnerables. Esta vulnerabilidad afecta a las versiones Exchange Server 2016 y 2019 y está provocada por una validación inadecuada en los argumentos de cmdlet.
Debido a que se han detectado ataques a servidores de Exchange aprovechando esta vulnerabilidad, se recomienda aplicar este parche lo antes posible. También se puede utilizar la versión más reciente del script diseñado por Microsoft para comprobar la seguridad de los servidores Exchange y ver cuáles andan retrasados en materia de actualizaciones.
Con respecto a la segunda de las vulnerabilidades que está siendo aprovechada en ataques recientes, esta afecta a Microsoft Excel, concretamente a las versiones 2013 – 2021, y podría permitir a un atacante la instalación de código malicioso si se logra convencer al usuario para que abra un fichero Excel especialmente modificado.
Fallos también en RDP
Otras dos de las vulnerabilidades catalogadas como críticas (CVE-2021-38631 y CVE-2021-41371) en los boletines de seguridad de este mes están relacionadas con el protocolo de escritorio remoto o RDP. Este ha sido y sigue siendo uno de los principales vectores de ataque usados por los delincuentes desde el inicio de la pandemia en marzo del 2020, siendo España el país donde más se han detectado este tipo de incidentes durante los últimos meses.
Los fallos de seguridad que ahora se han solucionado permitirían a un atacante ver la contraseña de acceso al sistema vulnerable. Esto facilitaría mucho la labor, por ejemplo, a los operadores responsables de ataques de ransomware, ya que en las fases iniciales del ataque se buscan precisamente este tipo de accesos para conseguir comprometer máquinas desde las cuales realizar movimientos laterales hasta conseguir llegar a sistemas críticos de la red como los controladores de dominio.
Conclusión
Tal y como se recomienda cada vez que se publican este tipo de boletines de seguridad, lo ideal es instalarlos lo antes posible. Esto resulta fácil cuando se trata de usuarios domésticos, pero en entornos corporativos es algo que suele requerir más cuidado, para asegurarse de que las actualizaciones no causan problemas y se instalan en un horario que afecte al trabajo cotidiano.