Múltiples vulnerabilidades en productos Microsoft

Vulnerabilidad

Múltiples vulnerabilidades en productos Microsoft

19/05/2021

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

El 11 de mayo Microsoft liberó un parche de seguridad en diferentes productos para mitigar múltiples vulnerabilidades, entre ellas tres de severidad alta que afectan al producto Microsoft Exchange Server 2013, 2016 y 2019 y dos críticas y dos de severidad alta que afectan a los productos Microsoft Windows 7,8 y 10, Windows Server e Internet Explorer 11.

De ser explotadas, estas vulnerabilidades podrían permitirle a quien ataca la ejecución de código remoto, bypass de autenticación, denegación de servicio, omisión de una función de seguridad y suplantación de identidad.

Algunas de vulnerabilidades que afectan a Internet Explorer 11, Windows 7, 8, 10 y Windows Server, de ser explotadas exitosamente podrían permitir que atacantes sin autentificación ejecuten código remoto arbitrario.

Cabe destacar que las vulnerabilidades que afectan el producto Microsoft Exchange Server, no son catalogadas como críticas. La liberación de parches para este producto es frecuente, debido a que es un objetivo habitual en la búsqueda activa de vulnerabilidades, por parte de quienes investigan y atacantes.

Detalles técnicos

Dentro de las 55 vulnerabilidades mitigadas por un conjunto de parches liberados el 11 de mayo por Microsoft, se destacan dos de tipo críticas y dos de severidad alta, que no cuentan aún con reportes públicos de intentos de explotación activa en Internet:

CVE-2021-28476 - Hyper-V Remote Code Execution Vulnerability
CVE-2021-31166 - HTTP Protocol Stack Remote Code Execution Vulnerability
CVE-2021-31194 - OLE Automation Remote Code Execution Vulnerability
CVE-2021-26419 - Scripting Engine Memory Corruption Vulnerability

CVE	Severidad	Puntaje	Vector
CVE-2021-28476	Crítica	9.9	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2021-31166	Crítica	9.8	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2021-31194	Alta	8.8	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CVE-2021-26419	Alta	7.5	CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-28476 y CVE-2021-31194

Productos Afectados	Versiones
Windows 7	Service Pack 1
Windows 8	8.1
Windows 10	1607 1803 1809 1909 2004 20H2
Windows Server 2008	Service Pack 2 y Service Pack 2 (Server Core installation) R2 y R2 (Server Core installation)
Windows Server 2012	Service Pack 2 y Service Pack 2 (Server Core installation) R2 y R2 (Server Core installation)
Windows Server 2016	Service Pack 2 y Service Pack 2 (Server Core installation)
Windows Server 2019	Service Pack 2 y Service Pack 2 (Server Core installation)

CVE-2021-28476

Esta vulnerabilidad catalogada como “crítica” y que podría permitir ejecutar código arbitrario de manera remota (RCE por sus siglas en inglés), se produce por un error en Windows Hyper-V, que es un hipervisor nativo que puede crear y modificar máquinas virtuales en sistemas x86-64 en Windows.

Quien ataque podría utilizar una aplicación especialmente diseñada en un sistema “guest” Hyper-V, para que el sistema operativo del “host” Hyper-V ejecute código arbitrario cuando falla al validar correctamente los datos del paquete vSMB. La explotación exitosa podría permitir ejecutar binarios maliciosos en máquinas virtuales Hyper-V o ejecutar código arbitrario en el propio sistema “host”.

CVE-2021-31194

Esta vulnerabilidad catalogada con “severidad alta”, podría permitir ejecutar código arbitrario de forma remota mediante la utilización de un sitio web malicioso especialmente desarrollado para invocar automatización OLE a través de un navegador web. Requiere que quien ataca engañe a la persona que visite el sitio web creado con un fin malicioso.

La tecnología OLE se ha utilizado con frecuencia para enmascarar códigos maliciosos dentro de los documentos y para vincularlos a archivos externos que infectan sistemas con malware.

CVE-2021-31166

Productos Afectados	Versiones
Windows 10	2004 20H2
Windows Server	2004 (Server Core Installation) 20H2 (Server Core Installation)

Esta vulnerabilidad catalogada como “crítica”, podría permitir que atacantes sin autentificación puedan ejecutar código arbitrario y tomar el control del sistema afectado. Al enviar un paquete malformado y especialmente diseñado a un servidor de destino, utilizando la pila de protocolo HTTP (http.sys) para procesar paquetes. La vulnerabilidad se debe a una falla de diseño en el mantenimiento de una lista circular doblemente enlazada en UlpParseAcceptEncoding.

Por más información acceder al sitio de Zero Day Initiative.

La categorización de la severidad como “crítica” se debe a que tiene un impacto directo sobre el objetivo y es excepcionalmente simple de explotar, posibilitando ataques DoS remotos y no autenticados para los productos afectados. Hay que destacar que existe al menos un reporte público de una prueba de concepto para la explotacion de esta vulnerabilidad

Este tipo de vulnerabilidades son utilizadas por atacantes que operan con ransomware y pueden ser “wormables” para replicarse a sí mismas en la red interna y afectar los servicios que estén expuestos.

CVE-2021-26419

Productos Afectados	Versión
Internet Explorer	11

Esta vulnerabilidad catalogada con severidad “alta”, es de buffer overflow en Microsoft Scripting Engine de Internet Explorer 11. Al ser explotada por un atacante podría permitir la ejecución de código remoto arbitrario.

Se podría desplegar un sitio web malicioso, desarrollado especialmente para explotar la vulnerabilidad a través de Internet Explorer y luego engañar una persona para que visite el mismo (por ejemplo usando técnicas de Phishing).

Vulnerabilidades con severidad alta y media que afectan Microsoft Exchange

En el producto Microsoft Exchange estas vulnerabilidades permitirían la ejecución de código remoto, bypass de autenticación y suplantación de identidad:

CVE-2021-31198 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-31195 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-31207 - Microsoft Exchange Server Security Feature Bypass Vulnerability
CVE-2021-31209 - Microsoft Exchange Server Spoofing Vulnerability

Productos Afectados	Versiones
Microsoft Exchange	2013 2016 2019

CVE	Severidad	Puntaje	Vector
CVE-2021-31198	Alta	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2021-31195	Alta	6.5	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE-2021-31207	Media	6.6	CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2021-31209	Alta	6.5	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:H

Las vulnerabilidades CVE-2021-31198 y CVE-2021-31195 son vulnerabilidades del tipo “Ejecución remota de código” (RCE por sus siglas en inglés) con la particularidad que son explotables sin necesidad de que quien ataque se autentique en el sistema (conocidas como vulnerabilidades ‘pre-authentication’).

La vulnerabilidad CVE-2021-31207 es una vulnerabilidad del tipo “0-day” que podría permitir evadir el proceso de autenticación, esto se debe a un error de omisión de una función de seguridad de Microsoft Exchange.

La vulnerabilidad CVE-2021-31209 podría permitir que se realice un ataque de suplantación de identidad, debido al procesamiento incorrecto de los datos proporcionados por el usuario en Microsoft Exchange Server, pudiendo un atacante remoto falsificar el contenido de la página.

Durante el mes de marzo se reportaron ataques que hacían uso de vulnerabilidades ‘post-authentication’ en combinación con la vulnerabilidad conocida como ProxyLogon, para implantar artefactos maliciosos en servidores Exchange.

Al momento de esta nota no hay reportes de explotación activa de estas vulnerabilidades en Internet.

Recomendaciones

Para mitigar el riesgo de explotación de dichas vulnerabilidades, recomendamos instalar lo antes posibles las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft como se indica en el enlace.

Respecto a las vulnerabilidades que afectan al producto Exchange, Microsoft realizó una publicación especifica con los parches de seguridad del producto en este enlace, indicando qué pasos seguir para los administradores de sistemas a la hora de aplicar los mismos.