Los cazadores de vulnerabilidades de Microsoft han vuelto y no precisamente con las manos vac\u00edas: 64 vulnerabilidades (cinco de ellas cr\u00edticas) en diferentes productos y servicios. Dos vulnerabilidades fueron difundidas p\u00fablicamente antes de que se lanzara el parche (lo que las convierte en vulnerabilidades de d\u00edas cero), y una est\u00e1 siendo explotada activamente por atacantes. Como siempre, recomendamos instalar las actualizaciones cuanto antes, mientras tanto, hablemos un poco de las que merecen especial atenci\u00f3n.<\/p>\n
CVE-2022-37969 es una vulnerabilidad de d\u00eda cero en el controlador de Common Log File System. No es el fallo m\u00e1s peligroso de los parcheados por la \u00faltima actualizaci\u00f3n (su calificaci\u00f3n CVSS es solo de 7,8), ya que, para aprovecharlo, los atacantes necesitan acceder de alg\u00fan modo al ordenador de la v\u00edctima. Sin embargo, una explotaci\u00f3n exitosa les permitir\u00e1 elevar sus privilegios hasta SYSTEM. Seg\u00fan Microsoft, algunos atacantes, en la vida real, ya est\u00e1n utilizando el exploit para esta vulnerabilidad; por lo tanto, debe ser parcheado cuanto antes.<\/p>\n
Las cinco vulnerabilidades cr\u00edticas corregidas son de ejecuci\u00f3n de c\u00f3digo en remoto (RCE); es decir, pueden utilizarse para ejecutar c\u00f3digo arbitrario en los ordenadores v\u00edctimas.
\n\u2013 CVE-2022-34718. Consiste en un fallo en Windows TCP\/IP con una calificaci\u00f3n CVSS de 9,8. Un atacante no autorizado, enviando un paquete IPv6 especialmente dise\u00f1ado, puede utilizarlo para ejecutar c\u00f3digo arbitrario en el equipo Windows atacado con el servicio IPSec habilitado.<\/p>\n
\u2013 CVE-2022-34721 y CVE-2022-34722. Son vulnerabilidades en el protocolo de intercambio de claves de Internet que permiten a un atacante ejecutar c\u00f3digo malicioso enviando tambi\u00e9n un paquete IP a un equipo vulnerable. Ambas tienen una calificaci\u00f3n CVSS de 9,8. Aunque estas vulnerabilidades s\u00f3lo afectan a la versi\u00f3n del protocolo IKEv1, Microsoft recuerda que todos los sistemas Windows Server son vulnerables porque aceptan tanto paquetes v1 como v2.<\/p>\n
\u2013 CVE-2022-34700 y CVE-2022-35805: un par de vulnerabilidades en el software de gesti\u00f3n de relaciones con clientes (CRM) de Microsoft Dynamics. Su explotaci\u00f3n permite a un usuario autenticado ejecutar comandos SQL arbitrarios, tras lo cual el atacante puede elevar sus derechos y ejecutar comandos dentro de la base de datos de Dynamics 365 con derechos de db owner. Dado que el atacante todav\u00eda necesitar\u00eda autenticarse de alguna manera, las calificaciones CVSS de estas dos vulnerabilidades son ligeramente inferiores (8,8), pero lo suficientemente peligrosas como para considerarlas cr\u00edticas.<\/p>\n
CVE-2022-23960 es la segunda vulnerabilidad que se anunci\u00f3 p\u00fablicamente antes del parche. En teor\u00eda, esto podr\u00eda significar que se pod\u00eda explotar antes de que fuera parcheada, pero no parece haber sido el caso. De hecho, CVE-2022-23960 es una variaci\u00f3n de la vulnerabilidad Spectre, que interviene en el mecanismo de ejecuci\u00f3n de instrucciones especulativas de un procesador. En otras palabras, la probabilidad de que se utilice en ataques reales es anecd\u00f3tica: el peligro es te\u00f3rico. Adem\u00e1s, esta vulnerabilidad s\u00f3lo es relevante para Windows 11 en sistemas basados en ARM64, lo que hace que su explotaci\u00f3n sea a\u00fan menos pr\u00e1ctica.<\/p>\n
Sorprendentemente, hay pocas vulnerabilidades \u201cno peligrosas\u201d en esta actualizaci\u00f3n del martes de parches de septiembre: solamente una tiene una calificaci\u00f3n de gravedad baja y otra tiene una calificaci\u00f3n media. Las 57 restantes, aunque no son tan peligrosas como las cinco cr\u00edticas de las que hemos hablado, pertenecen a la categor\u00eda de \u201cimportantes\u201d. Por lo tanto, como ya recomendamos al principio de este post, es mejor actualizar m\u00e1s pronto que tarde.<\/p>\n