Estimados Clientes,

El equipo de Ciberseguridad de Netglobalis informa que Microsoft realiza 67 correcciones de seguridad, que abordan 6 vulnerabilidades de día cero, una de las cuales se están explotando activamente, según Microsoft. Las vulnerabilidades abarcan una amplia gama de productos que en general incluyen parches para Windows, Azure Bot Framework SDK, Defender para IoT, Microsoft Office y componentes de Office, SharePoint Server, PowerShell, cliente de escritorio remoto, Windows Hyper-V, administración de dispositivos de Windows Mobile, Windows Update Stack, ASP.NET Core y Visual Studio y Windows Hyper-V.

De las 67 CVE parcheadas por Microsoft en el Patch Tuesday de noviembre, 7 son clasificadas como Críticas y 60 clasificadas como Importantes.

Además debemos señalar que Microsoft también parcheó 16 CVE en su navegador Edge basado en Chromium a principios de este mes. Esto eleva el total del parche de diciembre a 83 vulnerabilidades

Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Afectaciones:

Explotación activa CVE-2021-43890 suplantación en el instalador de AppX

CVE-2021-43890 es un error de suplantación en el instalador de AppX que afecta a Windows. Microsoft dice que está al tanto de los ataques que “intentan explotar esta vulnerabilidad mediante el uso de paquetes especialmente diseñados que incluyen la familia de malware conocida como Emotet / Trickbot / Bazaloader». Un atacante podría crear un archivo adjunto malicioso para utilizarlo en una campaña de phishing y luego convencer a la víctima de que lo abra. Las víctimas con menos derechos de usuario pueden verse menos afectadas que aquellas que operan con derechos de administrador.

Severidad Critica:

CVE-2021-42310 Control inadecuado de la generación de código (‘Inyección de código’)

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino, esta vulnerabilidad existe debido a una validación de entrada incorrecta en Microsoft Defender para IoT. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

• Productos afectados: Microsoft Defender para IoT: todas las versiones

CVE-2021-43215 Ejecución remota de código en Microsoft iSNS Server

La vulnerabilidad existe debido a un error de límite en el servidor iSNS. Un atacante remoto puede enviar una solicitud especialmente diseñada, provocar daños en la memoria y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 21H2, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1
• Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

CVE-2021-43217 Vulnerabilidad de escritura fuera de límites

La vulnerabilidad existe debido a un error de límite al procesar entradas que no son de confianza en el Sistema de cifrado de archivos (EFS) de Windows. Un atacante remoto puede activar la escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 21H2, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, 11 21H2, RT 8.1
• Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

CVE-2021-43233 Ejecución remota de código en Microsoft Remote Desktop Client

La vulnerabilidad existe debido a una validación de entrada incorrecta en el cliente de escritorio remoto. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 21H2, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 móviles, 10 S, 11 21H2, RT 8.1
• Windows Server: 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

CVE-2021-43899 Ejecución remota de código en el adaptador de pantalla inalámbrico 4K de Microsoft

La vulnerabilidad existe debido a una validación de entrada incorrecta en el adaptador de pantalla inalámbrico 4K de Microsoft. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Adaptador de pantalla inalámbrica 4K de Microsoft: todas las versiones

CVE-2021-43905 Ejecución remota de código en la aplicación Microsoft Office

La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Aplicación de Office: todas las versiones

CVE-2021-43907 Ejecución remota de código en Microsoft Visual Studio Code WSL Extension

La vulnerabilidad existe debido a una validación de entrada incorrecta en Visual Studio Code WSL Extension. Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• Productos afectados:
• Extensión WSL de Visual Studio Code: todas las versiones

IMPORTANTE

Junto con las vulnerabilidades críticas y las que están siendo explotadas activamente, Microsoft abordó otras 60 fallas de seguridad clasificadas como importantes de estas se destacan las siguientes vulnerabilidades de día cero que fueron conocidas públicamente:

CVE ‑ 2021‑41333

• Vulnerabilidad de la cola de impresión. Todas las versiones de Windows desde Server 2008 hasta Server 2022 se ven afectadas por esta vulnerabilidad.
• Microsoft ha calificado esto como Explotación más probable.

CVE ‑ 2021‑43880

• Esta es una vulnerabilidad única de Windows 11 que permitiría a un atacante que la aprovechara con éxito eliminar archivos. No tendrían acceso adicional para ver o modificar archivos.
• Microsoft ha calificado esto como Explotación más probable.

CVE-2021-43883

• Una vulnerabilidad en Windows Installer en todas las versiones de Windows desde Server 2008 hasta Server 2022 podría permitir la elevación de privilegios.
• Si bien Microsoft ha calificado esto como Explotación más probable y dijo no haber visto explotación. ha circulado un exploit y, según se informó, sería un objetivo activo por parte de los atacantes.
• Esta parece ser una solución para un parche de omisión de CVE-2021-41379, otra vulnerabilidad de elevación de privilegios en Windows Installer que supuestamente se corrigió en noviembre informado por “ Nuevo día cero de Windows con exploit público“

CVE-2021-43240

• Una vulnerabilidad en NTFS Set Short Name podría permitir la elevación de privilegios. El nombre corto se refiere a la convención de nomenclatura 8dot3. Esta vulnerabilidad afecta a Windows 10 y Windows 11 y las plataformas de servidor relacionadas.
• Microsoft ha calificado esto como Explotación menos probable

CVE ‑ 2021‑43893

• Una vulnerabilidad de elevación de privilegios en el sistema de cifrado de archivos de Windows (EFS).
• Microsoft ha calificado esto como Explotación menos probable

Otro error importante de Microsoft para priorizar:

CVE-2021-42309, un problema de RCE en Microsoft SharePoint Server. Permite a un atacante eludir la restricción de ejecutar controles web arbitrarios en el lado del servidor.

Mitigación

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Enlaces:

https://msrc.microsoft.com/update-guide/