A pesar de que, durante los últimos meses Microsoft nos había acostumbrado a solucionar un elevado número de vulnerabilidades en cada boletín de seguridad publicado, el de este mes de agosto nos parece pequeño al solucionar únicamente 44 agujeros de seguridad. Sin embargo, entre los parches publicados encontramos soluciones para 3 vulnerabilidades 0-day, alguna de las cuales ha dado bastante que hablar durante las últimas semanas.
Parches para PrintNightmare y PetitPotam
Desde hace semanas venimos observando como varios investigadores han ido alertando sobre vulnerabilidades en la cola de impresión de Windows. La que más preocupación ha causado es la conocida como PrintNightmare, para la cual Microsoft publico un parche de emergencia a principios de julio y trató de resolverla definitivamente en los boletines mensuales del mes pasado.
Sin embargo, los agujeros de seguridad relacionados con la cola de impresión se han seguido sucediendo y, por ese motivo, Microsoft ha tratado de solucionarla requiriendo que los usuarios tengan permisos de administrador para instalar drivers de impresora usando la funcionalidad Point and Print de Windows
Recordemos que la explotación de esta vulnerabilidad permitía a un atacante conseguir permisos de SYSTEM (el más alto en Windows) simplemente conectándose a un servidor de impresión remoto. La solución de esta vulnerabilidad se había convertido pues en una prioridad para Microsoft, aunque parece que tras la publicación de estos parches el problema no estaría del todo resuelto si nos fijamos en las pruebas realizadas por algunos investigadores.
Microsoft también ha publicado un parche para tratar de solucionar la vulnerabilidad conocida como PetitPotam, que utiliza la API MS-EFSRPC para forzar a un dispositivo a negociar una conexión con un servidor relay remoto controlado por un atacante. De esta forma, un usuario con pocos privilegios podría aprovechar esta vulnerabilidad para tomar el control de un controlador de dominio y, por ende, todo el dominio Windows.
Parches para tres 0-days
Además de los parches para las vulnerabilidades anteriormente mencionadas, Microsoft también ha publicado boletines de seguridad dirigidos a solucionar tres vulnerabilidades 0-day, una de las cuales ya estaba siendo aprovechada por atacantes. Una de estas vulnerabilidades, concretamente la CVE-2021-36942 está asociada con Petit Potam
Además, también se ha solucionado una grave vulnerabilidad (CVE-2021-26424) con una puntuación de 9.9 sobre 10 en el ranking de CVSS. Esta vulnerabilidad permitiría la ejecución de código en la pila TCP/IP que gestiona ipv6 y afectaría a sistemas Windows 7 hasta Windows 10 y sistemas Windows Server 2008 hasta 2019.
A pesar de que Microsoft haya indicado que no tiene constancia de que esta vulnerabilidad esté siendo aprovechada actualmente en ciberataques sí que ha considerado bastante probable que empiece a serlo a partir de ahora, ya que esta vulnerabilidad permite su explotación tan solo con mandar un único paquete de datos malicioso a un sistema vulnerable.
Así mismo, también se ha descubierto un fallo de seguridad (CVE-2021-36948) en el servicio Windows Update Medic, que permite reparar componentes del sistema desde un estado dañado para permitir seguir recibiendo actualizaciones. Esta vulnerabilidad ya estaría siendo aprovechada por atacantes y permitiría una escalada de privilegios en sistemas Windows 10 y Windows Server 2019 lo que, combinada con otra vulnerabilidad, permitiría a un usuario ejecutar código como administrador en sistemas vulnerables.
Conclusión
Como viene siendo habitual, el principal consejo que se suele dar es actualizar nuestro sistema tan pronto como sea posible. Esto, en el caso de usuarios particulares es sencillo puesto que tan solo se debe descargar las actualizaciones, instalarlas y reiniciar el sistema. Sin embargo, en entornos corporativos, estas actualizaciones deben probarse para asegurarse que no generan problemas con el software existente y el tiempo que transcurre entre que se publican los boletines y se aplican puede ser demasiado largo, algo que los delincuentes no van a dudar en aprovechar.