Fecha de publicación: 13/01/2022 Nivel de peligrosidad: CRÍTICO
El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de las actualizaciones de seguridad de Microsoft correspondientes al mes de enero.
Con el lanzamiento del boletín de seguridad de Microsoft correspondiente al mes enero, se han solucionado 97 vulnerabilidades; 9 de las cuales han sido calificadas como críticas y 88 han sido calificadas como altas. La actualización de seguridad de este mes proporciona actualizaciones para varios productos de software y funciones de Microsoft, incluidos Microsoft Office o el kernel de Windows. Para obtener un resumen completo sobre cada CVE, la compañía ha puesto a disposición de sus usuarios los detalles de cada una de ellas.
Vulnerabilidades
A continuación, se detallan las vulnerabilidades más destacadas de este boletín de Microsoft correspondiente al mes de enero por haber sido calificadas como críticas.
CVE
|
Producto afectado
|
Descripción
|
CVE-2022-21907
|
Windows HTTP Protocol Stack
|
Vulnerabilidad en el protocolo HTTP del servidor web de Windows Internet Information Services (IIS). Un atacante puede ejecutar código arbitrario en el sistema mediante el envío paquetes HTTP especialmente diseñados a un sistema Windows vulnerable. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
|
CVE-2022-21846
|
Microsoft Exchange Server
|
Vulnerabilidad que existe debido a una validación de entrada inadecuada en Microsoft Exchange Server. Un atacante remoto puede engañar a una víctima para que abra un archivo especialmente diseñado y ejecutar código arbitrario en el sistema de destino. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
|
CVE-2022-21840
|
Microsoft Office
|
Vulnerabilidad que existe debido a una validación de entrada inadecuada en Microsoft Office. Un atacante remoto puede engañar a una víctima para que abra un archivo especialmente diseñado y ejecutar código arbitrario en el sistema de destino. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
|
CVE-2022-21917
|
Microsoft Windows Codecs Library
|
Vulnerabilidad que existe debido a una validación de entrada inadecuada en las extensiones de vídeo HEVC. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
|
CVE-2022-21857
|
Windows Active Directory
|
Vulnerabilidad detectada en el servicio Active Directory que permite elevar privilegios dentro del sistema vulnerable. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema.
|
CVE-2022-21898
CVE-2022-21912
|
Windows DirectX
|
Vulnerabilidades que existen debido a una validación de entrada incorrecta en el kernel de gráficos DirectX. Un usuario local puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
|
CVE-2022-21833
|
Windows Virtual Machine IDE Drive
|
Vulnerabilidad que existe debido a que la aplicación no impone correctamente las restricciones de seguridad en la unidad IDE de la máquina virtual, lo que conduce a la evasión de las restricciones de seguridad. Una explotación exitosa de esta vulnerabilidad permite a un usuario local escalar privilegios en el sistema.
|
La base de datos del NIST ha registrado estos CVE, asignando diversas puntuaciones a cada uno de ellos según la escala CVSSv3. Sin embargo, por parte de Microsoft, todas las vulnerabilidades descritas en la tabla anterior han sido catalogadas como críticas. Hasta la fecha no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni se tiene constancia de la disponibilidad de exploits que aprovechan las vulnerabilidades indicadas en la tabla anterior.
Recursos afectados:
- Windows User Profile Service.
- Windows Certificates.
- Windows Account Control.
- Windows StateRepository API.
- Microsoft Exchange Server.
- Microsoft Office.
- Windows Codecs Library.
- Windows Active Directory.
- Windows DirectX.
- Windows HTTP Protocol Stack.
- Windows Virtual Machine IDE Drive.
Solución a las vulnerabilidades:
Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas las vulnerabilidades descritas. Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.
Recomendaciones:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear las vulnerabilidades descritas.
Referencias:
Atentamente,
Equipo CCN-CERT
|