Resumen:


Hace algunas horas, el equipo de seguridad de Microsoft dio a conocer la primer ronda de actualizaciones de seguridad del 2022, y con esta llegan las correcciones para un total de 97 fallos, sin incluir las 29 vulnerabilidades de Microsoft Edge.

 

Así mismo, nueve de las vulnerabilidades corregidas en el parche de este mes han sido clasificadas como críticas, lo que significa que los actores de amenazas pueden aprovecharlas para obtener acceso remoto a los sistemas vulnerables, sin requerir autenticación alguna.

 

Entre los fallos corregidos, se encuentra una vulnerabilidad rastreada como CVE-2022-21907 que ha sido clasificada como crítica. Se trata de un fallo de ejecución remota de código (RCE), cuya explotación podría permitirle a los atacantes obtener acceso a un sistema que ejecute la pila de protocolos HTTP (http.sys). 

 

A esto se suma que la falla puede convertirse fácilmente en gusano, es decir que posee la capacidad de propagarse en los dispositivos vulnerables mientras permanece activo en cada uno de ellos. 

 

Inclusive, investigadores de la Iniciativa Zero Day de Trend Micro, han señalado que esta vulnerabilidad debe ser catalogada como prioridad de parcheo, ya que es un CVE especialmente peligroso. 

 

Por otro lado, Microsoft ha compartido que el fallo afecta a los sistemas Windows 10 y Windows 11, así como a Server 2019 y Server 2022.

 

Otra de las vulnerabilidades reveladas dentro de las correcciones de este mes, es CVE-2022-21840 (CVSS 7.7), un RCE en Microsoft Office que mediante un archivo especialmente diseñado puede ser explotado.

 

Del mismo modo, ha sido corregida una vulnerabilidad de elevación de privilegios (CVE-2022-21857) que se encuentra en los Servicios de Dominio de Active Directory (AD DS). Si bien, aún se desconocen muchos detalles técnicos sobre el fallo, Microsoft insta a todos los usuarios a descargar el parche lo antes posible dado que los servicios de Active Directory son un elemento importante en las redes de muchas empresas y su explotación podría causar un compromiso severo.

 

Otros fallos corregidos:

CVE-2022-21911: Vulnerabilidad de denegación de servicio en .NET Framework

CVE-2022-21891: Vulnerabilidad de suplantación de identidad de Microsoft Dynamics 365 (en las instalaciones)

CVE-2022-0102: Chromium: CVE-2022-0102 Confusión de tipo en V8

CVE-2022-0104: Chromium: CVE-2022-0104 Desbordamiento del búfer de la pila en ANGLE

CVE-2022-21874: Vulnerabilidad de ejecución remota de código en la API del Centro de Seguridad de Windows

CVE-2022-21861: Vulnerabilidad de elevación de privilegios en el motor de datos de flujo de tareas

CVE-2022-21864: Vulnerabilidad de elevación de privilegios en la API del servidor inmersivo de la interfaz de usuario de Windows

CVE-2022-21876: Vulnerabilidad de divulgación de información en Win32k

 

Si desea acceder la lista completa de vulnerabilidades corregidas durante el mes de enero, puede visitar el informe proporcionado por Microsoft.

 

Así mismo, se le aconseja a todos los usuarios que descarguen los parches correspondientes para evitar ser víctimas de cualquier tipo de acometido y mantener sus sistemas al día.

 

Referencias:

https://threatpost.com/microsoft-wormable-critical-rce-bug-zero-day/177564/

https://www.helpnetsecurity.com/2022/01/11/cve-2022-21907/

 

 

Folio 132