La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de agosto, consta de 147 vulnerabilidades (con CVE asignado), calificadas como: 17 de severidad crítica, 105 importantes, 2 moderada, 1 baja y 22 sin severidad asignada.

Recursos afectados: 

• .NET Core
• Active Directory Domain Services
• Azure Batch Node Agent
• Azure Real Time Operating System
• Azure Site Recovery
• Azure Sphere
• Microsoft ATA Port Driver
• Microsoft Bluetooth Driver
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Windows Support Diagnostic Tool (MSDT)
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Fax Service
• Role: Windows Hyper-V
• System Center Operations Manager
• Visual Studio
• Windows Bluetooth Service
• Windows Canonical Display Driver
• Windows Cloud Files Mini Filter Driver
• Windows Defender Credential Guard
• Windows Digital Media
• Windows Error Reporting
• Windows Hello
• Windows Internet Information Services
• Windows Kerberos
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Network File System
• Windows Partition Management Driver
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Storage Spaces Direct
• Windows Unified Write Filter
• Windows WebBrowser Control
• Windows Win32K

Descripción: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

• denegación de servicio,
• escalada de privilegios,
• divulgación de información,
• ejecución remota de código,
• omisión de medidas de seguridad,
• suplantación de identidad (spoofing).

Es la segunda mayor actualización de seguridad lanzada por Microsoft este año, e incluye 17 RCEs de nivel crítico y fallos de escalada de privilegios.

La vulnerabilidad de día cero CVE-2022-34713, que afecta a la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MDST), es una variante de Dogwalk y se encuentra entre las correcciones más notables de este mes.

Con una calificación de 7,8 en la escala de gravedad CVSSv3, puede explotarse engañando a la víctima para que abra un documento malicioso mediante phishing por correo electrónico o a través de un sitio web controlado por el atacante que aloje un archivo malicioso. La vulnerabilidad en sí misma es un fallo de cruce de rutas en MDST que afecta a los dispositivos con Windows 7 o más recientes. Para aprovecharla, los objetivos tienen que infectarse con un archivo .diagcab malicioso que coloca la carga útil en la carpeta de inicio de Windows y la ejecuta cuando el usuario vuelve a iniciar sesión, según un análisis de SOC Prime.

Este mes también se ha parcheado otro fallo RCE en MDST (CVE-2022-35743), pero no se ha encontrado una explotación activa y, por tanto, no puede considerarse un zero-day.

CVE-2022-30133 y CVE-2022-35744 recibieron una calificación de 9,8/10,0 en la escala CVSSv3 y también fueron clasificadas como críticas por Microsoft, ya que el RCE podía conseguirse sin necesidad de intervención alguna del usuario. En ambos casos, un atacante no autentificado podría enviar una solicitud de conexión especialmente diseñada a un servidor de acceso remoto (RAS), según Microsoft, lo que podría llevar a un RCE en la máquina del servidor RAS.

Los fallos restantes afectaban a lo siguiente: Servicios de dominio de Active Directory, Protocolo de túnel de sockets seguros de Windows, Windows Hyper-V, Cliente y servidor SMB y Microsoft Exchange Server.

La lista completa de vulnerabilidades corregidas puede consultarse en el sitio de Microsoft.

Recomendaciones:

• Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias:

• https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
• https://msrc.microsoft.com/update-guide/vulnerability