La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de enero, resuelve más de 90 vulnerabilidades, de las cuales 9 son de severidad crítica.

Los recursos afectados incluyen: Windows y componentes asociados, Edge, Exchange Server, Office y componentes asociados, SharePoint Server, .NET Framework, Microsoft Dynamics, Windows Hyper-V, Windows Defender y Windows Remote Desktop Protocol (RDP). La lista detallada se muestra a continuación:

• .NET Framework,
• Microsoft Dynamics,
• Microsoft Edge (Chromium-based),
• Microsoft Exchange Server,
• Microsoft Graphics Component,
• Microsoft Office,
• Microsoft Office Excel,
• Microsoft Office SharePoint,
• Microsoft Office Word,
• Microsoft Teams,
• Microsoft Windows Codecs Library,
• Open Source Software,
• Role: Windows Hyper-V,
• Tablet Windows User Interface,
• Windows Account Control,
• Windows Active Directory,
• Windows AppContracts API Server,
• Windows Application Model,
• Windows BackupKey Remote Protocol,
• Windows Bind Filter Driver,
• Windows Certificates,
• Windows Cleanup Manager,
• Windows Clipboard User Service,
• Windows Cluster Port Driver,
• Windows Common Log File System Driver,
• Windows Connected Devices Platform Service,
• Windows Cryptographic Services,
• Windows Defender,
• Windows Devices Human Interface,
• Windows Diagnostic Hub,
• Windows DirectX,
• Windows DWM Core Library,
• Windows Event Tracing,
• Windows Geolocation Service,
• Windows HTTP Protocol Stack,
• Windows IKE Extension,
• Windows Installer,
• Windows Kerberos,
• Windows Kernel,
• Windows Libarchive,
• Windows Local Security Authority,
• Windows Local Security Authority Subsystem Service,
• Windows Modern Execution Server,
• Windows Push Notifications,
• Windows RDP,
• Windows Remote Access Connection Manager,
• Windows Remote Desktop,
• Windows Remote Procedure Call Runtime,
• Windows Resilient File System,
• Windows Secure Boot,
• Windows Security Center,
• Windows StateRepository API,
• Windows Storage,
• Windows Storage Spaces Controller,
• Windows System Launcher,
• Windows Task Flow Data Engine,
• Windows Tile Data Repository,
• Windows UEFI,
• Windows UI Immersive Server,
• Windows User Profile Service,
• Windows User-mode Driver Framework,
• Windows Virtual Machine IDE Drive,
• Windows Win32K,
• Windows Workstation Service Remote Protocol.

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

• denegación de servicio,
• escalada de privilegios,
• divulgación de información,
• ejecución remota de código,
• elusión de medidas de seguridad,
• suplantación de identidad (spoofing).

Las vulnerabilidades de mayor riesgo son:

• CVE-2022-21849: Vulnerabilidad de Ejecución Remota de Código en extensión IKE de Windows, la cual permite a los atacantes no autenticados desencadenar múltiples vulnerabilidades cuando el servicio IPSec se ejecuta en Windows.
• CVE-2022-21846, CVE-2022-21855 y CVE-2022-21969: Vulnerabilidades de Ejecución Remota en Microsoft Exchange Server.
• CVE-2022-21907: Vulnerabilidad de Ejecución Remota de Código en el protocolo HTTP.
• CVE-2022-21901: Vulnerabilidad de elevación de privilegios en Windows Hyper-V.

Además se han parcheado numerosos fallos que afectan a la suite Microsoft Office, entre ellos uno de los más graves el identificado como CVE-2022-21840. Este aborda 26 fallos individuales que permitirían a los atacantes la ejecución remota de código en la máquina de la víctima si ésta abre un archivo especialmente diseñado.

Según Microsoft el nivel de complejidad del ataque para aprovechar las vulnerabilidades mencionadas es bajo, aunque no se tiene confirmación de que estén siendo activamente explotadas.

Microsoft también ha parcheado seis vulnerabilidades de día cero:

• CVE-2022-21919 – Vulnerabilidad de elevación de privilegios en el servicio de perfil de usuario de Windows.
• CVE-2022-21836 – Vulnerabilidad de falsificación de certificados de Windows.
• CVE-2022-21839 – Vulnerabilidad de denegación de servicio en la lista de control de acceso discrecional de Windows Event Tracing.
• CVE-2022-21874 – Vulnerabilidad de ejecución remota de código en la API del Centro de Seguridad de Windows.
• CVE-2021-22947 – Vulnerabilidad de ejecución remota de código en Curl de código abierto.
• CVE-2021-36976 – Vulnerabilidad de ejecución remota de código en Libarchive.

Ninguna de las vulnerabilidades de día cero mencionadas ha sido explotada activamente hasta la fecha, pero existe una Prueba de Concepto (PoC) disponible públicamente, por lo que las empresas deberían aplicar los parches de manera inmediata antes de que se produzcan intentos de explotación.

Recomendaciones:

Instalar la actualización de seguridad correspondiente. En la página oficial de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias:

• https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan
• https://msrc.microsoft.com/update-guide/en-us
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21849
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21855
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21969
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21840
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21901
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21919
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21836
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21839
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21874
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-22947
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36976