Fieles a su cita cada segundo martes de cada mes, las actualizaciones de seguridad para productos Microsoft correspondientes al mes de febrero nos traen parches para 48 vulnerabilidades, con una de ellas catalogada como zero-day. Si bien este número es inferior al observado en anteriores meses, no debemos olvidar la importancia de actualizar nuestros sistemas y aplicaciones lo antes posible.
Vulnerabilidad zero-day sin explotar
Cuando hablamos de vulnerabilidades zero-day tendemos a pensar que son los agujeros de seguridad más peligrosos, puesto que no disponen de parche en el momento de su descubrimiento. Esto puede permitir a los atacantes aprovecharlas durante un tiempo que puede variar desde días a meses y comprometer un buen número de sistemas hasta que salga el parche correspondiente o se apliquen mitigaciones.
En este caso, la vulnerabilidad zero-day solucionada este mes (CVE-2022-21989) y que permitía una elevación de privilegios en el kernel de Windows ha sido aprovechada aún de forma activa en ciberataques. No obstante, ahora que ya se han hecho públicos los detalles y existen pruebas de concepto disponibles, es cuestión de tiempo que pase a engrosar el arsenal de los atacantes.
Aun así, para que esta vulnerabilidad sea explotada con éxito se requiere que el atacante realice previamente acciones adicionales para preparar el entorno objetivo. Un ataque exitoso podría realizarse desde un AppContainer con pocos privilegios. El atacante podría luego elevar sus privilegios y ejecutar código o acceder a recursos a un nivel de integridad mayor que el del entorno de ejecución del AppContainer.
Otras actualizaciones
Además de solucionar este zero-day, con la publicación de los boletines de febrero también se han solucionado vulnerabilidades que permitían la ejecución remota de código en servidores DNS de Windows, Servidores Sharepoint, Windows Hyper-V y extensiones de vídeo HEVC. También se incluyen parches para una vulnerabilidad de spoofing en Azure Data Explorer, dos vulnerabilidades en Outlook para macOS y OneDrive para Android y dos vulnerabilidades de denegación de servicio en .NET y Teams.
Tampoco debemos olvidar que otras empresas hacen coincidir sus propios boletines de seguridad con los de Microsoft para facilitar la tarea a los administradores de sistemas, haciendo que puedan desplegarse las actualizaciones en una semana en concreto. Un ejemplo de esto es Adobe, quien también ha publicado parches de seguridad para productos como Adobe Premier Rush, Illustrator, After Effects o Photoshop.
Por su parte, Google lanzó el pasado lunes 7 de febrero su boletín de seguridad correspondiente al mes de febrero para Android. Entre los agujeros de seguridad solucionados se encuentran varios que permiten escaladas locales y remotas de privilegios, así como también la divulgación de información local sin necesidad de interacción por parte del usuario.
Conclusión
Siempre es importante aplicar los parches de seguridad tan pronto como sea posible, teniendo en cuenta las características de cada entorno. No es lo mismo un usuario particular o pyme que una gran empresa con miles de dispositivos que primero debe comprobar que estos parches no causan problemas en el sistema o aplicaciones al instalarlos, por lo que es habitual que la aplicación de estos parches tarde un poco más en estos entornos específicos.