Pasar al contenido principal
Seguridad

Múltiples vulnerabilidades en productos Microsoft

El 9 de noviembre Microsoft liberó un parche de seguridad para mitigar múltiples vulnerabilidades; la mitad fueron categorizadas como “0-day” con severidad alta y críticas.
Imagen descriptiva de vulnerabilidades en Microsoft

De las doce vulnerabilidades detectadas seis son de severidad alta, dos son categorizadas como “RCE”, o de “ejecución de código remoto” y están siendo activamente explotadas, afectando a los productos Microsoft Excel y Microsoft Exchange Server 2013, 2016 y 2019. Las otras cuatro vulnerabilidades son categorizadas de severidad importante/alta y afectan a varios productos de Microsoft.

Detalle técnicos

Las vulnerabilidades del tipo “0-day”

Cuatro de las seis vulnerabilidades aún no cuentan con reportes públicos de intentos de explotación activa en Internet:

  • CVE-2021-38631 - Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
  • CVE-2021-41371 - Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
  • CVE-2021-43208 - 3D Viewer Remote Code Execution Vulnerability
  • CVE-2021-43209 - 3D Viewer Remote Code Execution Vulnerability

CVE

Severidad

Puntaje

Vector

CVE-2021-38631

Importante

4.4

CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2021-41371

Importante

4.4

CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVE-2021-43208

Alta

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-43209

Alta

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vulnerabilidad “0 day” con explotación activa para Microsoft Excel

En particular, existen reportes de explotación para la CVE-2021-42292, con severidad alta, que afecta al producto Microsoft Excel.

Productos Afectados

Versiones

Microsoft Office

  • 2013 SP1 (32 y 64 bit)
  • 2013 RT SP1
  • 2016 (32 y 64 bit)
  • 2019 (32 y 64 bit)
  • LTSC 2021 (32 y 64 bit)
  • LTSC para Mac 2021

Microsoft Excel

  • 2013 SP1 (32 y 64 bit)
  • 2013 RT SP1
  • 2016 (32 y 64 bit)

Microsoft 365

  • Apps for Enterprise (32 y 64 bit

La vulnerabilidad se produce por un error en la función de seguridad de Microsoft Excel, y su explotación podría permitir la ejecución de código al abrir un archivo especialmente diseñado para este fin.

Vulnerabilidad “0 day” que afecta a Microsoft Exchange

La vulnerabilidad CVE-2021-42321 es del tipo “Ejecución remota de código” (RCE por sus siglas en inglés); su falla existe debido a la validación incorrecta de los argumentos command-let (cmdlet). Para que sea explotable, quien ataca debe autenticarse en el sistema (son conocidas como vulnerabilidades ‘post-authentication’).

Es importante aclarar que esta vulnerabilidad podría encadenarse con una vulnerabilidad ‘pre-autenticacion’ para lograr el requerimiento de autenticación.

Productos Afectados

Versiones

Microsoft Exchange

  • 2013
  • 2016
  • 2019

CVE

Severidad

Puntaje

Vector

CVE-2021-42321

 Crítica

 8.8

 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Actualmente existen reportes de  explotación activa de vulnerabilidades utilizadas para implantar artefactos maliciosos en servidores Exchange. Microsoft informa que ha detectado que muchos de estos  “ataques dirigidos limitados”  utilizan esta nueva vulnerabilidad.

Vulnerabilidades críticas en varios productos de Microsoft

Las vulnerabilidades del tipo crítica son 6 en total, estas no cuentan aún con reportes públicos de intentos de explotación activa en Internet:

  • CVE-2021-3711 - OpenSSL: CVE-2021-3711 SM2 Decryption Buffer Overflow
  • CVE-2021-26443 - Microsoft Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability
  • CVE-2021-38666 - Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2021-42316 - Microsoft Dynamics 365 (on-premises) Remote Code Execution Vulnerability
  • CVE-2021-42298 - Microsoft Defender Remote Code Execution Vulnerability
  • CVE-2021-42279 - Chakra Scripting Engine Memory Corruption Vulnerability

CVE

Severidad

Puntaje

Vector

CVE-2021-3711

Crítica

9.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVE-2021-26443

Crítica

9.0

CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVE-2021-38666

Crítica

8.8

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-42316

Crítica

8.7

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

CVE-2021-42298

Crítica

7.8

CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-42279

Crítica

4.2

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N

Recomendaciones

En vista de la gravedad de las vulnerabilidades, instamos a instalar lo antes posible las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft. Acceder a las guías.

Respecto a la vulnerabilidad que afecta al producto Exchange, Microsoft realizó una publicación específica sobre los parches de seguridad del producto. Acceder a la publicación.

Detección

Puntualmente, para la vulnerabilidad que afecta al producto Exchange, Microsoft público un script y la siguiente consulta de Powershell para detectar si el servidor fue comprometido:

Get-WinEvent -FilterHashtable @{ LogName='Application'; ProviderName='MSExchange Common'; Level=2 } | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Si la consulta de powershell devuelve resultados es necesario realizar un análisis más exhaustivo del estado del servidor. 

Referencias

Enlace actualizaciones noviembre de productos Microsoft

Enlace actualizaciones de Microsoft Exchange

Enlace a Bleeping Computer

Enlace a Bleeping Computer – Microsoft Exchange