Desde AndalucíaCERT les informamos que han sido liberados los parches de seguridad mensuales de Microsoft, <<April 2022 Security Updates>>. Esta actualización incluye más de 125 parches, entre los que se encuentran 10 vulnerabilidades críticas.

Desde AndalucíaCERT nos gustaría destacar las siguientes dos vulnerabillidades críticas de tipo zero-day:

• CVE-2022-24521 (Windows Common Log File System Driver Elevation of Privilege Vulnerability): vulnerabilidad de elevación de privilegios en el Windows Common Log File System (CLFS).
• CVE-2022-26904 (Windows User Profile Service Elevation of Privilege Vulnerability): vulnerabilidad de elevación de privilegios en el servicio Windows User Profile.

Debemos indicarles que estas dos vulnerabilidades ya eran conocidas por los cibercriminales en el momento de la publicación de los parches y que una de ellas, CVE-2022-24521, está siendo activamente explotada por los cibercriminales.

Adicionalmente, la empresa Microsoft ha corregido multitud de vulnerabilidades que podrían permitir a un atacante la ejecución remota de código y otras acciones maliciosas. De entre ellas, nos gustaría destacar:

• CVE-2022-26809 (Remote Procedure Call Runtime Remote Code Execution Vulnerability): vulnerabilidad de ejecución remota de código en Windows RPC.
• CVE-2022-24500 (Windows SMB Remote Code Execution Vulnerability): vulnerabilidad de ejecución remota de código en SMB.

Debemos indicarles que los primeros análisis de la vulnerabilidad CVE-2022-26809 indican que podría ser de tipo wormable (gusanable), lo que implica que podría ser usada por un malware de tipo gusano para propagarse por la red. Por ello, desde Microsoft indican como medida de mitigación el bloqueo del tráfico TCP 445 en el perímetro de las organizaciones.

Desde AndalucíaCERT aprovechamos la ocasión para recordarles la importancia de seguir unas buenas prácticas en el uso del protocolo SMB.

Sistemas afectados:

• Windows 8.1
• Windows 10
• Windows Server 2012 y 2012 R2
• Windows Server 2016
• Windows Server 2019

Debido al riesgo potencial que presentan estas vulnerabilidades, desde AndalucíaCERT se recomienda:

Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante. Debido a la gran cantidad de vulnerabilidades recomendamos actualizar el sistema completamente, siempre que sea posible.

Pueden encontrar más información en los siguientes enlaces:

• Web de parches: https://msrc.microsoft.com/update-guide
• Elevación de privilegios en Windows Common Log File System (CVE-2022-24521): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
• Elevación de privilegios en el servicio Windows User Profile (CVE-2022-26904): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
• Ejecución remoto de código en Windows RPC (CVE-2022-26809): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
• Ejecución remota de código en Windows SMB (CVE-2022-24500): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24500
• Proteger el tráfico SMB en Windows Server: https://docs.microsoft.com/es-es/windows-server/storage/file-server/smb-secure-traffic
• Aviso emitido por AndalucíaCERT sobre buenas prácticas de seguridad en servicios SMB: https://andaluciacert.juntadeandalucia.es/actualidad/alertas-seguridad/buenas-practicas-de-seguridad-en-servicios-smb

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.