CCN-CERT AV 01/22 Actualizaciones de seguridad de Microsoft

Cabecera
separador
Actualizaciones de seguridad de Microsoft

Fecha de publicación: 13/01/2022
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de las actualizaciones de seguridad de Microsoft correspondientes al mes de enero.

Con el lanzamiento del boletín de seguridad de Microsoft correspondiente al mes enero, se han solucionado 97 vulnerabilidades; 9 de las cuales han sido calificadas como críticas y 88 han sido calificadas como altas. La actualización de seguridad de este mes proporciona actualizaciones para varios productos de software y funciones de Microsoft, incluidos Microsoft Office o el kernel de Windows. Para obtener un resumen completo sobre cada CVE, la compañía ha puesto a disposición de sus usuarios los detalles de cada una de ellas.

Vulnerabilidades

A continuación, se detallan las vulnerabilidades más destacadas de este boletín de Microsoft correspondiente al mes de enero por haber sido calificadas como críticas.

CVE

Producto afectado

Descripción

CVE-2022-21907

Windows HTTP Protocol Stack

Vulnerabilidad en el protocolo HTTP del servidor web de Windows Internet Information Services (IIS). Un atacante puede ejecutar código arbitrario en el sistema mediante el envío paquetes HTTP especialmente diseñados a un sistema Windows vulnerable. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-21846

Microsoft Exchange Server

Vulnerabilidad que existe debido a una validación de entrada inadecuada en Microsoft Exchange Server. Un atacante remoto puede engañar a una víctima para que abra un archivo especialmente diseñado y ejecutar código arbitrario en el sistema de destino. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-21840

Microsoft Office

Vulnerabilidad que existe debido a una validación de entrada inadecuada en Microsoft Office. Un atacante remoto puede engañar a una víctima para que abra un archivo especialmente diseñado y ejecutar código arbitrario en el sistema de destino. Una explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-21917

Microsoft Windows Codecs Library

Vulnerabilidad que existe debido a una validación de entrada inadecuada en las extensiones de vídeo HEVC. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-21857

Windows Active Directory

Vulnerabilidad detectada en el servicio Active Directory que permite elevar privilegios dentro del sistema vulnerable. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema.

CVE-2022-21898

CVE-2022-21912

Windows DirectX

Vulnerabilidades que existen debido a una validación de entrada incorrecta en el kernel de gráficos DirectX. Un usuario local puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-21833

Windows Virtual Machine IDE Drive

Vulnerabilidad que existe debido a que la aplicación no impone correctamente las restricciones de seguridad en la unidad IDE de la máquina virtual, lo que conduce a la evasión de las restricciones de seguridad. Una explotación exitosa de esta vulnerabilidad permite a un usuario local escalar privilegios en el sistema.

La base de datos del NIST ha registrado estos CVE, asignando diversas puntuaciones a cada uno de ellos según la escala CVSSv3. Sin embargo, por parte de Microsoft, todas las vulnerabilidades descritas en la tabla anterior han sido catalogadas como críticas. Hasta la fecha no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni se tiene constancia de la disponibilidad de exploits que aprovechan las vulnerabilidades indicadas en la tabla anterior.

Recursos afectados:

  • Windows User Profile Service.
  • Windows Certificates.
  • Windows Account Control.
  • Windows StateRepository API.
  • Microsoft Exchange Server.
  • Microsoft Office.
  • Windows Codecs Library.
  • Windows Active Directory.
  • Windows DirectX.
  • Windows HTTP Protocol Stack.
  • Windows Virtual Machine IDE Drive.

Solución a las vulnerabilidades:

Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas las vulnerabilidades descritas. Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear las vulnerabilidades descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT