Vulnerabilidades en productos Microsoft
Estas vulnerabilidades permitirían la ejecución de código remoto, en particular dos de las que afectan al producto Exchange (CVE-2021-28480 y CVE-2021-28481) catalogadas como “pre-authentication”, por lo que un posible atacante no requeriría credenciales para explotarlas.
Se tiene conocimiento de que las vulnerabilidades de “0-day” que afectan a Windows y Windows Server están siendo activamente explotadas.
Sobre las vulnerabilidades 0-day
Esta es una vulnerabilidad desconocida para quienes se interesen en mitigarla (incluyendo desarrollador/fabricante del software afectado). Hasta que dichas vulnerabilidades sean mitigadas, actores maliciosos pueden intentar explotarlas para afectar negativamente sistemas, redes, etc.
Detalles técnicos
Dentro de las vulnerabilidades mitigadas por el parche liberado por Microsoft, varias de ellas son críticas y otras del tipo “0-day”.
Las vulnerabilidades del tipo “0-day” son cinco, de las cuales cuatro no cuentan aún con reportes públicos de intentos de explotación activa en Internet:
- CVE-2021-27091 - RPC Endpoint Mapper Service Elevation of Privilege Vulnerability
- CVE-2021-28312 - Windows NTFS Denial of Service Vulnerability
- CVE-2021-28437- Windows Installer Information Disclosure Vulnerability - PolarBear
- CVE-2021-28458 - Azure ms-rest-nodeauth Library Elevation of Privilege Vulnerability
| CVE | Severidad | Puntaje | Vector |
|---|---|---|---|
| CVE-2021-27091 | Alta | 7.8 | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-28312 | Baja | 3.3 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
| CVE-2021-28437 | Media | 5.5 | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| CVE-2021-28458 | Alta | 7.8 | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
En particular, existen reportes de intento de explotación para la CVE-2021-28310, que afecta al componente Microsoft Desktop Window Manager (DWM).
| Productos afectados | Versiones |
|---|---|
| Windows 10 |
|
| Windows Server |
|
| CVE | Severidad | Puntaje | Vector |
|---|---|---|---|
| CVE-2021-28310 | Alta | 7.8 | VSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
CVE-2021-28310
Es una vulnerabilidad de escritura fuera de los límites (out-of-bounds) que le permite a un atacante elevar privilegios. La vulnerabilidad afecta la librería dwmcore.dll, que a su vez es parte del programa Desktop Window Manager (dwm.exe). Desktop Windows Manager es un componente que está asociado a la interfaz de ventana del sistema operativo y es responsable de la representación de funciones como sombras y transparencias cuando se superponen ventanas.
Debido a la falta de control de límites, un actor malicioso puede crear una situación que les permita escribir datos en un desplazamiento controlado utilizando DirectComposition API. Esta API implementada por el controlador win32kbase.sys, existe desde la versión de Microsoft Windows 8.
Es a través de la ejecución de múltiples pasos utilizando la DirectComposition API, que se logra la creación de un objeto en el dwm,exe desde el cual se realiza la ejecución de código, lo que podría derivar en el compromiso total del sistema.
Vulnerabilidades Críticas que afectan Microsoft Exchange
| Productos afectados | Versiones |
|---|---|
| Microsoft Exchange |
|
| CVE | Severidad | Puntaje | Vector |
|---|---|---|---|
| CVE-2021-28480 | Crítica | 9.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-28481 | Crítica | 9.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-28482 | Alta | 8.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-28483 | Alta | 8.8 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Las vulnerabilidades CVE-2021-28480 y CVE-2021-28481 son vulnerabilidades del tipo “Ejecución remota de código” (RCE por sus siglas en inglés), con la particularidad que son explotables sin que el atacante se encuentre autenticado en el sistema para poder explotarlas (son conocidas como vulnerabilidades ‘pre-authentication’).
Las vulnerabilidades CVE-2021-28482 y CVE-2021-28483 también son del tipo RCE, sin embargo, estas son explotables ‘pos-autenticacion’. Vale aclarar que estas vulnerabilidades podrían encadenarse con una vulnerabilidad ‘pre-autenticacion’ para evitar el requerimiento de autenticación.
Se reportaron durante el mes de marzo ataques que hacían uso de las vulnerabilidades de pos-autenticacion en combinación con la vulnerabilidad conocida como ProxyLogon para implantar artefactos maliciosos en servidores Exchange.
Al momento de esta nota no hay reportes de explotación activa de estas vulnerabilidades en Internet. Sin embargo, la NSA, quien reportó dichas vulnerabilidades a Microsoft, reforzó la recomendación de implementar los parches de seguridad publicados por Microsoft.
Recomendaciones
En vista de la gravedad de las vulnerabilidades, recomendamos instalar lo antes posible las actualizaciones de seguridad siguiendo las instrucciones y guías de Microsoft como se indica en el enlace.
Respecto a las vulnerabilidades que afectan al producto Exchange, Microsoft realizó una publicación especifica los parches de seguridad del producto en este enlace, indicando qué pasos seguir para los administradores de sistemas a la hora de aplicar los mismos.
Referencias
Blog Microsoft Secutiry Response Center
Guía de Microsoft sobre actualización de seguridad
Descripción de Actualización de Seguridad Microsoft Exchange
Microsoft Vulnerability CVE-2021-28480 details
Microsoft Vulnerability CVE-2021-28481 details
Microsoft Vulnerability CVE-2021-28482 details
Microsoft Vulnerability CVE-2021-28483 details
Microsoft Vulnerability CVE-2021-27091 details
Microsoft Vulnerability CVE-2021-28312 details
Microsoft Vulnerability CVE-2021-28437 details
Microsoft Vulnerability CVE-2021-28310 details
Publicación sobre CVE-2021-28310 en el Blog kaspersky
Publicación sobre vulnerabilidades de Microsoft en Threatpost