La perspectiva de Akamai sobre el Patch Tuesday de noviembre
El Patch Tuesday de noviembre de 2022 de Microsoft se ha publicadoy, en el grupo de inteligencia sobre seguridad de Akamai, hemos querido analizar las vulnerabilidades más interesantes para las que se han aplicado parches. En este informe, intentaremos evaluar la gravedad real de las vulnerabilidades y con qué frecuencia se ven afectadas las aplicaciones y los servicios, y proporcionaremos nuestra propia perspectiva sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Para cada servicio afectado que analicemos en este informe, tratamos de ofrecer recomendaciones para la supervisión y mitigación cuando no sea posible aplicar parches. Por supuesto, ninguna mitigación es tan eficaz como la aplicación de parches, así que asegúrese de aplicarlos a sus sistemas siempre que sea posible y de mantenerlos actualizados.
Advertencia: Algunos usuarios han informado de problemas de conectividad a los controladores de dominio tras aplicar el parche de noviembre. Creemos que podrían estar relacionados con la corrección para CVE-2022-37966, que cambia los valores de cifrado predeterminados (obtenga más información a continuación). También pueden estar relacionados con otros parches de Kerberos y Netlogon.
Lenguajes de scripts de Windows
Los lenguajes de scripts de Windows pueden hacer referencia a varias implementaciones de lenguajes de scripts dentro de Windows, como VBScript, JavaScript u otros. En esta versión, Microsoft aplicó parches a dos motores de scripts, JScript y Chakra.
JScript es la implementación de Microsoft de ECMAScript, el mismo estándar que se encuentra detrás de JavaScript y que utiliza Internet Explorer. Chakra también es un motor de JavaScript, derivado de JScript, y Microsoft Edge Legacy lo utiliza (las versiones más recientes de Edge están basadas en Chromium). Ambos se implementan como archivos DLL, oportunamente denominados jscript9.dll y chakra.dll.
Esta actualización corrige dos vulnerabilidades críticas de ejecución remota de código que afectan a estos motores de scripts.
La primera, CVE-2022-41128, afecta al lenguaje de scripts JScript9 con una puntuación del sistema CVSS de 8,8 y etiquetada como crítica. No solo su complejidad de ataque es baja, sino que también se ha explotado libremente. Para aprovechar con éxito la vulnerabilidad, un atacante tendría que hospedar un sitio web o recurso compartido de servidor especialmente diseñado. A continuación, el atacante tendría que convencer a un usuario con una versión afectada de Windows para que accediera a su servidor especialmente diseñado.
La segunda vulnerabilidad es CVE-2022-41118, que afecta tanto a JScript9 como a Chakra, con una puntuación del sistema CVSS de 7,5 y también etiquetada como crítica. Esta vez su complejidad de ataque es alta, porque requiere que un atacante gane una condición de carrera. El flujo de ataque y la interacción del usuario siguen siendo similares a los de la vulnerabilidad CVE-2022-41128.
Recomendaciones generales
Los motores JScript y Chakra se desarrollaron para Internet Explorer y Edge Legacy. Hay navegadores web más modernos (así como un Edge basado en Chromium), y recomendamos utilizar uno de ellos en su lugar. Aun así, es importante tener en cuenta que algún otro software puede utilizar estos motores y, por lo tanto, la aplicación de un parche sería la única manera de proteger su equipo frente a estas vulnerabilidades.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Red |
|
Ejecución remota de código |
Red |
Kerberos de Windows
Kerberos es la columna vertebral de la arquitectura de dominio de Windows. Es el mecanismo de autenticación predeterminado, que ha reemplazado a NTLM. Esta vez se corrigieron dos vulnerabilidades: ambas se pueden utilizar para la escalada de privilegios y tienen una puntuación del sistema CVSS de 8,1 y 7,2, respectivamente.
Aparte de la aplicación de parches, los administradores de sistemas deben leer ambos artículos KB (KB5020805, KB5021131) publicados por Microsoft para cambios específicos necesarios en el registro.
El impacto
Un atacante que aprovechara esta vulnerabilidad podría obtener privilegios de administrador.
¿Dónde está la vulnerabilidad?
CVE-2022-37966
Antes de este parche, el cifrado predeterminado en la negociación de Kerberos solía ser RC4-MD5. RC4 es un cifrado de flujo, lo que significa que el texto cifrado se crea mediante texto sin formato XOR con un flujo de cifrado. Se considera débil porque se puede descifrar fácilmente offline con herramientas como John the Ripper. La vulnerabilidad reside en esta configuración predeterminada.
Cuando un atacante negocia con un Active Directory, puede enviar una solicitud especialmente diseñada que utilizará la autenticación predeterminada de Kerberos. Después de una solicitud correcta, el atacante podría tomar la clave de sesión de Kerberos y descifrarla para conseguir la escalada de privilegios.
La configuración predeterminada para la negociación Kerberos se corregirá mediante la clave de registro ms-DS-SupportedEncryptionType, que se establecerá en cifrado AES (0x27) de forma predeterminada.
CVE-2022-37967
Esta vulnerabilidad radica en la extensión Privilege Attribute Certificate (PAC) de Kerberos. Básicamente, la extensión PAC es un "contenedor" de información para varios campos: UserId, GroupsIDs, AccountDomainId y más. La información de la extensión PAC se añade a los tickets de Kerberos mediante un controlador de dominio.
Al analizar el artículo KB de Microsoft publicado para el programa CVE, creemos que la vulnerabilidad se puede aprovechar para omitir la validación de la firma de la extensión PAC que se envía al servidor. Esto significa que las estructuras de la extensión PAC que se envían con firmas no válidas o que faltan podrían omitir el proceso de validación y dar lugar a una escalada de privilegios.
Este parche es el primer paso de una Phased Release para la vulnerabilidad CVE-2022-37067. Incluye una corrección para la vulnerabilidad CVE-2022-37967, pero está deshabilitada de forma predeterminada. Las siguientes fases están planificadas desde el 13 de diciembre de 2022 hasta el 10 de octubre de 2023, lo que permitirá la auditoría y la aplicación parcial, respectivamente.
Para la vulnerabilidad CVE-2022-37967, el parche añadirá el valor 2 a la clave de registro KrbtgtFullPacSignature. Este valor permite la auditoría de las extensiones PAC en el sistema y los administradores de sistemas pueden utilizarlo para realizar un seguimiento de las anomalías.
La clave KrbtgtFullPacSignature tendrá una opción para aplicar o denegar las firmas de la extensión PAC incorrectas o que faltan para gestionar esta vulnerabilidad.
Alcance
Kerberos forma parte de cada arquitectura de dominio de Windows.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Escalada de privilegios |
Red |
|
Escalada de privilegios |
Red |
Netlogon RPC
La carpeta Netlogon Remote Protocol es el protocolo que se utiliza para la autenticación de usuarios y equipos en entornos de dominio de Windows. También se utiliza para la sincronización entre controladores de dominio. Como tal, es bastante prominente en las redes de dominio de Windows, por lo que la vulnerabilidad CVE-2022-38023 podría afectar a la mayoría de los entornos.
El impacto
Un atacante podría obtener privilegios administrativos en el dominio si aprovecha esta vulnerabilidad.
¿Dónde está la vulnerabilidad?
Según el artículo de Knowledged Base de Microsoft publicado en relación con la CVE, parece que la CVE es relevante cuando las conexiones de Netlogon se producen con la firma de RPC y no con el sellado de RPC. En la firma de RPC, los mensajes de RPC solo los firma el remitente y el receptor hace coincidir el contenido del mensaje con la firma para comprobar la integridad. El sellado de RPC, por otro lado, cifra todo el mensaje.
Basándonos en los registros de eventos relevantes mencionados (los ID de evento 5838 a 5841 en el registro de eventos del sistema), creemos que la vulnerabilidad puede estar relacionada con la gestión o verificación incorrectas de la firma, específicamente cuando se trata del cifrado RC4-HMAC.
Recomendaciones generales
Este parche es el primer paso de una Phased Release. Corrige la CVE y también introduce una nueva clave de registro RequireSeal, que se utilizará para aplicar el sellado de RPC. Como parte del primer paso, la clave de registro se establece de forma predeterminada en el modo de compatibilidad, pero un administrador de dominio puede deshabilitarla. El modo de compatibilidad hará que los controladores de dominio permitan conexiones vulnerables de clientes de terceros, pero aplicará el sellado de RPC en equipos Windows y controladores de dominio.
Las siguientes fases, planificadas para el 11 de abril y el 11 de julio de 2023, eliminarán la opción de deshabilitar la aplicación y, a continuación, el modo de compatibilidad, respectivamente.
Recomendamos que los administradores de dominio no deshabiliten la nueva aplicación después de aplicar parches y que trabajen en la actualización de clientes que utilizan la firma de RPC. Si no puede resolver esos problemas de forma rápida y debe permitir la firma de RPC, le recomendamos que deshabilite al menos la firma md5 más débil mediante la clave de registro preexistente RejectMD5Clients.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Escalada de privilegios |
Red |
Servicios tratados anteriormente
Hay muchas otras CVE que se han abordado en el Patch Tuesday de este mes, y no podremos tratarlas todas. Algunas de estas CVE son para servicios y funciones que ya hemos tratado en análisis anteriores del Patch Tuesday. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores.
Servicio |
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Usuario autenticado como miembro del sitio |
||
Suplantación |
Usuario autenticado con permisos de creación de páginas |
||
Ejecución remota de código |
Red |
||
Denegación de servicio |
Red |
||
Ejecución remota de código |
Usuario que accede a un servidor malicioso |
||
Divulgación de información |
Usuario autenticado con credenciales de administrador |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.
Para obtener más información sobre las últimas investigaciones en seguridad, síganos en Twitter.