Pasar al contenido principal
#UruguaySeVacuna: Agendate y accedé a toda la información sobre las vacunas.
Vulnerabilidad

Múltiples vulnerabilidades en productos Microsoft

Creación: 19/05/2021
Última actualización: 19/05/2021
El 11 de mayo Microsoft liberó un parche de seguridad en diferentes productos para mitigar múltiples vulnerabilidades, entre ellas tres de severidad alta que afectan al producto Microsoft Exchange Server 2013, 2016 y 2019 y dos críticas y dos de severidad alta que afectan a los productos Microsoft Windows 7,8 y 10, Windows Server e Internet Explorer 11.
vulnerabilidad

De ser explotadas, estas vulnerabilidades podrían permitirle a quien ataca la ejecución de código remoto, bypass de autenticación, denegación de servicio, omisión de una función de seguridad y suplantación de identidad.

Algunas de vulnerabilidades que afectan a Internet Explorer 11, Windows 7, 8, 10 y Windows Server, de ser explotadas exitosamente podrían permitir que atacantes sin autentificación ejecuten código remoto arbitrario.

Cabe destacar que las vulnerabilidades que afectan el producto Microsoft Exchange Server, no son catalogadas como críticas. La liberación de parches para este producto es frecuente, debido a que es un objetivo habitual en la búsqueda activa de vulnerabilidades, por parte de quienes investigan y atacantes.

Detalles técnicos

Dentro de las 55 vulnerabilidades mitigadas por un conjunto de parches liberados el 11 de mayo por Microsoft, se destacan dos de tipo críticas y dos de severidad alta, que no cuentan aún con reportes públicos de intentos de explotación activa en Internet:

  • CVE-2021-28476 - Hyper-V Remote Code Execution Vulnerability
  • CVE-2021-31166 - HTTP Protocol Stack Remote Code Execution Vulnerability
  • CVE-2021-31194 - OLE Automation Remote Code Execution Vulnerability
  • CVE-2021-26419 - Scripting Engine Memory Corruption Vulnerability

CVE

Severidad

Puntaje

Vector

CVE-2021-28476

Crítica

9.9

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2021-31166

Crítica

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-31194

Alta

8.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2021-26419

Alta

7.5

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28476 y CVE-2021-31194

Productos Afectados

Versiones

Windows 7

  • Service Pack 1

Windows 8

  • 8.1

Windows 10

  • 1607
  • 1803
  • 1809
  • 1909
  • 2004
  • 20H2

Windows Server  2008

  • Service Pack 2 y Service Pack 2 (Server Core installation)
  • R2 y R2 (Server Core installation)

Windows Server  2012

  • Service Pack 2 y Service Pack 2 (Server Core installation)
  • R2 y R2 (Server Core installation)

Windows Server  2016

  • Service Pack 2 y Service Pack 2 (Server Core installation)

Windows Server  2019

  • Service Pack 2 y Service Pack 2 (Server Core installation)

CVE-2021-28476

Esta vulnerabilidad catalogada como “crítica” y que podría permitir ejecutar código arbitrario de manera remota (RCE por sus siglas en inglés), se produce por un error en Windows Hyper-V, que es un hipervisor nativo que puede crear y modificar máquinas virtuales en sistemas x86-64 en Windows.

Quien ataque podría utilizar una aplicación especialmente diseñada en un sistema “guest” Hyper-V, para que el sistema operativo del “host” Hyper-V ejecute código arbitrario cuando falla al validar correctamente los datos del paquete vSMB. La explotación exitosa podría permitir ejecutar binarios maliciosos en máquinas virtuales Hyper-V o ejecutar código arbitrario en el propio sistema “host”.

CVE-2021-31194

Esta vulnerabilidad catalogada con “severidad alta”, podría permitir ejecutar código arbitrario de forma remota mediante la utilización de un sitio web malicioso especialmente desarrollado para invocar automatización OLE a través de un navegador web. Requiere que quien ataca engañe a la persona que visite el sitio web creado con un fin malicioso.

La tecnología OLE se ha utilizado con frecuencia para enmascarar códigos maliciosos dentro de los documentos y para vincularlos a archivos externos que infectan sistemas con malware.

CVE-2021-31166

Productos Afectados

Versiones

Windows 10

  • 2004
  • 20H2

Windows Server 

  • 2004 (Server Core Installation)
  • 20H2 (Server Core Installation)

Esta vulnerabilidad catalogada como “crítica”, podría permitir que atacantes sin autentificación puedan ejecutar código arbitrario y tomar el control del sistema afectado. Al enviar un paquete malformado y especialmente diseñado a un servidor de destino, utilizando la pila de protocolo HTTP (http.sys) para procesar paquetes. La vulnerabilidad se debe a una falla de diseño en el mantenimiento de una lista circular doblemente enlazada en UlpParseAcceptEncoding.

Por más información acceder al sitio de Zero Day Initiative.

La categorización de la severidad como “crítica” se debe a que tiene un impacto directo sobre el objetivo y es excepcionalmente simple de explotar, posibilitando ataques DoS remotos y no autenticados para los productos afectados. Hay que destacar que existe al menos un reporte público de una prueba de concepto para la explotacion de esta vulnerabilidad

Este tipo de vulnerabilidades son utilizadas por atacantes que operan con ransomware y pueden ser “wormables” para replicarse a sí mismas en la red interna y afectar los servicios que estén expuestos.

CVE-2021-26419

Productos Afectados

Versión

Internet Explorer

  • 11

Esta vulnerabilidad catalogada con severidad “alta”, es de buffer overflow en  Microsoft Scripting Engine de Internet Explorer 11. Al ser explotada por un atacante podría permitir la ejecución de código remoto arbitrario.

Se podría desplegar un sitio web malicioso, desarrollado especialmente para explotar la vulnerabilidad a través de Internet Explorer y luego engañar una persona para que visite el mismo (por ejemplo usando técnicas de Phishing).

Vulnerabilidades con severidad alta y media que afectan Microsoft Exchange

En el producto Microsoft Exchange estas vulnerabilidades permitirían la ejecución de código remoto, bypass de autenticación y suplantación de identidad:

  • CVE-2021-31198 - Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-31195 - Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-31207 - Microsoft Exchange Server Security Feature Bypass Vulnerability
  • CVE-2021-31209 - Microsoft Exchange Server Spoofing Vulnerability

Productos Afectados

Versiones

Microsoft Exchange

  • 2013
  • 2016
  • 2019

 

CVE

Severidad

Puntaje

Vector

CVE-2021-31198

 Alta

 7.8

 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-31195

 Alta

 6.5

 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2021-31207

 Media

 6.6

 CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2021-31209

 Alta

 6.5

 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:H

Las vulnerabilidades CVE-2021-31198 y CVE-2021-31195 son vulnerabilidades del tipo “Ejecución remota de código” (RCE por sus siglas en inglés) con la particularidad que son explotables sin necesidad de que quien ataque se autentique en el sistema (conocidas como vulnerabilidades ‘pre-authentication’).

La vulnerabilidad CVE-2021-31207 es una vulnerabilidad del tipo “0-day” que podría permitir evadir el proceso de autenticación, esto se debe a un error de omisión de una función de seguridad de Microsoft Exchange.

La vulnerabilidad CVE-2021-31209 podría permitir que se realice un ataque de suplantación de identidad, debido al procesamiento incorrecto de los datos proporcionados por el usuario en Microsoft Exchange Server, pudiendo un atacante remoto falsificar el contenido de la página.

Durante el mes de marzo se reportaron ataques que hacían uso de vulnerabilidades ‘post-authentication’ en combinación con la vulnerabilidad conocida como ProxyLogon, para implantar artefactos maliciosos en servidores Exchange.

Al momento de esta nota no hay reportes de explotación activa de estas vulnerabilidades en Internet.

Recomendaciones

Para mitigar el riesgo de explotación de dichas vulnerabilidades, recomendamos instalar lo antes posibles las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft como se indica en el enlace.

Respecto a las vulnerabilidades que afectan al producto Exchange, Microsoft realizó una publicación especifica con los parches de seguridad del producto en este enlace, indicando qué pasos seguir para los administradores de sistemas a la hora de aplicar los mismos.

Referencias

Descripción de Actualización de Seguridad Microsoft Exchange

Descripción de Actualización de Seguridad Microsoft Exchange en TechCommunity

Guía de Microsoft sobre actualización de seguridad

Microsoft Vulnerability CVE-2021-31166 details

Microsoft Vulnerability CVE-2021-28476 details

Microsoft Vulnerability CVE-2021-31166 details

Microsoft Vulnerability CVE-2021-31194 details

Microsoft Vulnerability CVE-2021-31195 details

Microsoft Vulnerability CVE-2021-31198 details

Microsoft Vulnerability CVE-2021-31207 details

Microsoft Vulnerability CVE-2021-31209 details

Microsoft Vulnerability CVE-2021-28437 details

Microsoft Vulnerability CVE-2021-28310 details

Publicación sobre vulnerabilidades de Microsoft en Threatpost

Etiquetas