Pasar al contenido principal
#UruguaySeVacuna: Agendate y accedé a toda la información sobre las vacunas.
Vulnerabilidad

Vulnerabilidades en productos Microsoft

Creación: 15/04/2021
Última actualización: 15/04/2021
El 13 de abril Microsoft liberó un parche de seguridad para mitigar múltiples vulnerabilidades, entre ellas hay cuatro críticas que afectan al producto Microsoft Exchange Server 2013, 2016 y 2019, y otras cinco categorizadas como “0-day”, que afectan a productos Microsoft Windows 10 y Windows Server, de las cuales una tiene severidad alta.
vulnerabilidad

Estas vulnerabilidades permitirían la ejecución de código remoto, en particular dos de las que afectan al producto Exchange (CVE-2021-28480 y CVE-2021-28481) catalogadas como “pre-authentication”, por lo que un posible atacante no requeriría credenciales para explotarlas.

Se tiene conocimiento de que las vulnerabilidades de “0-day” que afectan a Windows y Windows Server están siendo activamente explotadas.

Sobre las vulnerabilidades 0-day

Esta es una vulnerabilidad desconocida para quienes se interesen en mitigarla (incluyendo desarrollador/fabricante del software afectado). Hasta que dichas vulnerabilidades sean mitigadas, actores maliciosos pueden intentar explotarlas para afectar negativamente sistemas, redes, etc.

Detalles técnicos

Dentro de las vulnerabilidades mitigadas por el parche liberado por Microsoft, varias de ellas son críticas y otras del tipo “0-day”.

Las vulnerabilidades del tipo “0-day” son cinco, de las cuales cuatro no cuentan aún con reportes públicos de intentos de explotación activa en Internet:

  • CVE-2021-27091 - RPC Endpoint Mapper Service Elevation of Privilege Vulnerability
  • CVE-2021-28312 - Windows NTFS Denial of Service Vulnerability
  • CVE-2021-28437- Windows Installer Information Disclosure Vulnerability - PolarBear
  • CVE-2021-28458 - Azure ms-rest-nodeauth Library Elevation of Privilege Vulnerability
CVESeveridadPuntajeVector
CVE-2021-27091Alta7.8CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2021-28312Baja3.3CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
CVE-2021-28437Media5.5CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2021-28458Alta7.8CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

En particular, existen reportes de intento de explotación para la CVE-2021-28310, que afecta al componente Microsoft Desktop Window Manager (DWM).

Productos afectadosVersiones
Windows 10
  • 1803
  • 1809
  • 1909
  • 2004
  • 20H2
Windows Server
  • 1909
  • 2004
  • 20H2
CVESeveridadPuntajeVector
CVE-2021-28310Alta7.8VSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2021-28310

Es una vulnerabilidad de escritura fuera de los límites (out-of-bounds) que le permite a un atacante elevar privilegios. La vulnerabilidad afecta la librería dwmcore.dll, que a su vez es parte del programa Desktop Window Manager (dwm.exe). Desktop Windows Manager es un componente que está asociado a la interfaz de ventana del sistema operativo y es responsable de la representación de funciones como sombras y transparencias cuando se superponen ventanas.

Debido a la falta de control de límites, un actor malicioso puede crear una situación que les permita escribir datos en un desplazamiento controlado utilizando DirectComposition API. Esta API implementada por el controlador win32kbase.sys, existe desde la versión de Microsoft Windows 8.

Es a través de la ejecución de múltiples pasos utilizando la DirectComposition API, que se logra la creación de un objeto en el dwm,exe desde el cual se realiza la ejecución de código, lo que podría derivar en el compromiso total del sistema.

Vulnerabilidades Críticas que afectan Microsoft Exchange

Productos afectadosVersiones
Microsoft Exchange
  • 2013
  • 2016
  • 2019
CVESeveridadPuntajeVector
CVE-2021-28480Crítica9.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2021-28481Crítica9.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2021-28482Alta8.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2021-28483Alta8.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Las vulnerabilidades CVE-2021-28480 y CVE-2021-28481 son vulnerabilidades del tipo “Ejecución remota de código” (RCE por sus siglas en inglés), con la particularidad que son explotables sin que el atacante se encuentre autenticado en el sistema para poder explotarlas (son conocidas como vulnerabilidades ‘pre-authentication’).

Las vulnerabilidades CVE-2021-28482 y CVE-2021-28483 también son del tipo RCE, sin embargo, estas son explotables ‘pos-autenticacion’. Vale aclarar que estas vulnerabilidades podrían encadenarse con una vulnerabilidad ‘pre-autenticacion’ para evitar el requerimiento de autenticación.

Se reportaron durante el mes de marzo ataques que hacían uso de las vulnerabilidades de pos-autenticacion en combinación con la vulnerabilidad conocida como ProxyLogon para implantar artefactos maliciosos en servidores Exchange.

Al momento de esta nota no hay reportes de explotación activa de estas vulnerabilidades en Internet. Sin embargo, la NSA, quien reportó dichas vulnerabilidades a Microsoft, reforzó la recomendación de implementar los parches de seguridad publicados por Microsoft.

Recomendaciones

En vista de la gravedad de las vulnerabilidades, recomendamos instalar lo antes posible las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft como se indica en el enlace.

Respecto a las vulnerabilidades que afectan al producto Exchange, Microsoft realizó una publicación especifica los parches de seguridad del producto en este enlace, indicando qué pasos seguir para los administradores de sistemas a la hora de aplicar los mismos.

Referencias

Blog Microsoft Secutiry Response Center

Guía de Microsoft sobre actualización de seguridad

Descripción de Actualización de Seguridad Microsoft Exchange

Microsoft Vulnerability CVE-2021-28480 details

Microsoft Vulnerability CVE-2021-28481 details

Microsoft Vulnerability CVE-2021-28482 details

Microsoft Vulnerability CVE-2021-28483 details

Microsoft Vulnerability CVE-2021-27091 details

Microsoft Vulnerability CVE-2021-28312 details

Microsoft Vulnerability CVE-2021-28437 details

Microsoft Vulnerability CVE-2021-28310 details

Publicación sobre CVE-2021-28310 en el Blog kaspersky

Publicación sobre vulnerabilidades de Microsoft en Threatpost

Etiquetas