La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril, consta de 117 vulnerabilidades, clasificadas 19 como críticas, 89 como importantes y 9 sin severidad asignada.

Recursos afectados:

Azure AD Web Sign-in, Azure DevOps, Azure Sphere, Microsoft Edge (basado en Chromium), Microsoft Exchange Server, Microsoft Graphics Component, Microsoft Internet Messaging API, Microsoft NTFS, Microsoft Office Excel, Microsoft Office Outlook, Microsoft Office SharePoint, Microsoft Office Word, Microsoft Windows Codecs Library, Microsoft Windows Speech,Open Source Software, Role: DNS Server, Role: Hyper-V, Visual Studio, Visual Studio Code, Visual Studio Code - GitHub Pull Requests e Issues Extension, Visual Studio Code - Kubernetes Tools, Visual Studio Code - Maven para Java Extension, Windows Application Compatibility Cache, Windows AppX Deployment Extensions, Windows Console Driver, Windows Diagnostic Hub, Windows Early Launch Antimalware Driver, Windows ELAM, Windows Event Tracing, Windows Installer, Windows Kernel, Windows Media Player, Windows Network File System, Windows Overlay Filter, Windows Portmapping, Windows Registry, Windows Remote Procedure Call Runtime, Windows Resource Manager, Windows Secure Kernel Mode, Windows Services and Controller App, Windows SMB Server, Windows TCP/IP, Windows Win32K,Windows WLAN Auto Config Service.

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

• Denegación de servicio.
• Escalada de privilegios.
• Divulgación de información.
• Ejecución remota de código.
• Omisión de la función de seguridad.
• Suplantación de identidad (spoofing).

Microsoft también ha corregido 5 vulnerabilidades de día cero con identificadores CVE-2021-27091, CVE-2021-28312, CVE-2021-28437, CVE-2021-28458 y CVE-2021-28310 (esta última estaba siendo explotada activamente). La Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés), ha notificado 4 nuevas vulnerabilidades críticas de ejecución remota de código que afectan a Microsoft Exchange Server (2013, 2016 y 2019) y que han sido solucionadas (2013 CU23; 2016 CU19 y CU20; 2019 CU8 y CU9). Sus identificadores son CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 y CVE-2021-28483.

Recomendaciones:

• Instalar de forma inmediata las últimas actualizaciones provistas por Microsoft para los productos afectados.

Referencias:

• Security Update Guide. https://msrc.microsoft.com/update-guide
• April 2021 Security Updates. https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr
• Security update deployment information: April 13, 2021 (KB5001866). https://support.microsoft.com/en-us/topic/security-update-deployment-information-april-13-2021-kb5001866-fd920b95-77d5-472a-82a1-5affee49d6a3
• Released: April 2021 Exchange Server Security Updates. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
• Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities. https://us-cert.cisa.gov/ncas/current-activity/2021/04/13/apply-microsoft-april-2021-security-update-mitigate-newly