La perspectiva de Akamai sobre el Patch Tuesday de octubre de 2022
El Patch Tuesday de octubre de 2022 de Microsoft se ha publicadoy, en el grupo de inteligencia sobre seguridad de Akamai, hemos querido analizar las vulnerabilidades más interesantes para las que se han aplicado parches. En este informe, intentaremos evaluar la gravedad real de las vulnerabilidades y con qué frecuencia se ven afectadas las aplicaciones y los servicios, y proporcionaremos nuestra propia perspectiva sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
En una entrada de blog independiente, también hemos analizado dos vulnerabilidades que nuestro equipo detectó y a las que aplicó parches este mes. Estas dos vulnerabilidades, una en el servicio "Servidor" y la otra en el servicio "Estación de trabajo", están relacionadas con el almacenamiento en caché de devolución de llamadas de seguridad de las llamadas a procedimientos remotos de Microsoft (MS-RPC), un mecanismo que explicamos detalladamente en la publicación anterior. Las vulnerabilidades se detectaron como parte del trabajo continuo de nuestro equipo en lo relacionado con MS-RPC. Si desea obtener más información acerca de esas vulnerabilidades específicas, incluidas las herramientas de automatización y otros materiales de intercambio de conocimientos, puede visitar nuestro nuevo repositorio de GitHub de MS-RPC, que se lanzó a principios de esta semana.
Para cada servicio afectado que analicemos en este informe, tratamos de ofrecer recomendaciones para la supervisión y mitigación cuando no sea posible aplicar parches, ya sea citando las recomendaciones de Microsoft u ofreciendo soluciones alternativas basadas en nuestra propia experiencia. Por supuesto, ninguna mitigación es tan eficaz como la aplicación de parches, así que asegúrese de aplicarlos a sus sistemas siempre que sea posible y de mantenerlos actualizados.
Kubernetes Cluster Connect habilitado para Azure Arc
Azure Arc permite a los clientes conectar la infraestructura local a Azure para facilitar la gestión. De esta forma, los clientes pueden gestionar todos sus entornos (máquinas virtuales, clústeres de Kubernetes, bases de datos, servidores, etc.) con un gestor de recursos: Azure Resource Manager. Kubernetes habilitado para Azure Arc permite al usuario conectar y configurar clústeres de Kubernetes, independientemente de dónde se ejecuten, ya sea en un entorno en la nube o en un entorno local, y los muestra en Azure Resource Manager.
Este mes se han aplicado parches a una vulnerabilidad crítica de escalada de privilegios con una puntuación del CVSS de 10 en la característica Kubernetes Cluster Connect habilitada para Azure Arc. Cluster Connect es la característica que permite a los clientes conectar fácilmente sus clústeres de Kubernetes a sus servicios de Azure Arc mediante la ejecución de un agente de proxy inverso en el clúster. También permite a los usuarios conectarse al servidor de API de sus clústeres sin habilitar ningún puerto de entrada en el firewall. Creemos que este es uno de los factores que facilitaron que esta CVE obtuviera su puntuación máxima, ya que cualquier persona puede acceder a ella desde Internet.
Según Microsoft, para aprovechar esta vulnerabilidad, un atacante debe conocer la terminal del sistema de nombres de dominio (DNS) externa generada aleatoriamente para el clúster y debe tener acceso a Internet. En caso de que la explotación sea satisfactoria, la función Cluster Connect permitirá que un usuario no autenticado aumente sus privilegios como administradores de clústeres, lo que puede otorgarles el control sobre el clúster de Kubernetes. Azure Stack Edge también es vulnerable a esta CVE cuando está conectado a un Azure Arc vulnerable, ya que permite a los clientes implementar cargas de trabajo de Kubernetes en sus dispositivos a través de Azure Arc.
Recomendaciones generales
Dado que la función Kubernetes Cluster Connect habilitada para Azure Arc se comunica a través del puerto TCP 443, la segmentación del puerto no es una tarea fácil. Sin embargo, la buena noticia es que si utiliza Azure Arc, su característica de actualización automática está activada de forma predeterminada, por lo que debería estar protegido. Si no está seguro de si está protegido, puede comprobarlo aquí para ver si la actualización automática está activada. Si este no es el caso, utilice este manual para actualizar el agente.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Escalada de privilegios |
Acceso a Internet al clúster vulnerable. Sin necesidad de autenticación de usuarios. |
CryptoAPI de Microsoft
CryptoAPI de Microsoft es el método propio de Microsoft para gestionar las conexiones seguras y la verificación de firmas de código. Una de las principales funciones de CryptoAPI es la gestión de certificados.
Microsoft solucionó un problema con la biblioteca CryptoAPI en el Patch Tuesday de agosto de 2022. Este problema fue notificado por el Centro Nacional de Ciberseguridad del Reino Unido y por la Agencia de Seguridad Nacional de EE. UU. El aviso se publicó en octubre.
Creemos que el cambio más relevante afecta a crypt32.dll, donde se ha cambiado la función CreateChainContextFromPathGraph . Suponemos que la vulnerabilidad está relacionada con estos cambios.
La llamada a CreateChainContextFromPathGraph la realiza CertGetCertificateChain, que es una llamada a la API conocida que se ejecuta cada vez que se establezca una conexión segura para crear un contexto de cadena de certificado. Actualmente, pensamos que la vulnerabilidad se debe a una comprobación que falta en la función.
Si consigue su objetivo, un atacante puede conseguir falsificar su identidad y hacerse pasar por un partner legítimo en una conexión segura. Para lograrlo, es probable que el atacante necesite llevar a cabo un ataque de máquina intermediaria. Además, de las notas del parche, podemos deducir que el atacante no necesita autenticarse para aprovechar esta vulnerabilidad. Un atacante también puede manipular el certificado X509 para eludir la protección de firma de código.
Recomendaciones generales
Microsoft señala que la vulnerabilidad se puede aprovechar de forma remota y sin necesidad de autenticación. Dado que CryptoAPI de Microsoft se utiliza ampliamente en Windows y está presente en todas las terminales de Windows, recomendamos que instale el parche. También conviene recordar que el parche para esta vulnerabilidad se creó en el Patch Tuesday de agosto. Por lo tanto, los equipos que contengan actualizaciones a partir de agosto están protegidos frente a esta.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Suplantación |
Red |
Protocolo de túnel punto a punto de Windows
El protocolo punto a punto (PPP) está integrado en el servidor de acceso remoto (RAS) y proporciona capacidades de encuadramiento y autenticación para conexiones remotas.
Este mes se han aplicado parches a siete vulnerabilidades en PPP, todas ellas son vulnerabilidades críticas de ejecución remota de código (RCE) con una puntuación CVSS de 8,1. El pasado mes de agosto, el mismo investigador, Yuki Chen , encontró dos vulnerabilidades de RCE en el mismo protocolo con una puntuación CVSS de 9,8.
Según los avisos de Microsoft, un atacante remoto no autenticado podría obtener la ejecución de código en un servidor de protocolo de túnel punto a punto (PPTP) enviando un paquete PPTP de diseño malicioso. Sin embargo, se cree que es poco probable que se aprovechen las siete vulnerabilidades debido a la complejidad del ataque; requiere ganar una condición de carrera, lo que no es determinista y puede requerir tiempo.
¿Qué importancia tiene el PPTP? De todos los servidores Windows Server que consultamos en nuestros entornos supervisados, el 40 % de ellos reciben conexiones a través del puerto 1723, que es el puerto estándar para PPTP. En lo que respecta a los servidores expuestos a Internet, Shodan informa de que 3,3 millones de servidores escuchan en el puerto 1723; sin embargo, casi ninguno de ellos ejecuta Windows.
¿Dónde está el error? Pensamos que las vulnerabilidades tienen su origen en raspptp.sys, el controlador que implementa PPTP.
Recomendaciones generales
Microsoft señala que la vulnerabilidad solo se puede aprovechar mediante la comunicación a través del puerto 1723. Por lo tanto, además de la aplicación de parches, se puede evitar la explotación mediante la segmentación de los servidores de acceso remoto (RAS) en la red y el bloqueo de las conexiones en este puerto. Sin embargo, cabe señalar que el bloqueo del puerto puede interrumpir la comunicación normal.
CVE
Número de CVE |
Efecto |
Acceso necesario |
CVE-2022-38047 |
RCE |
Red |
CVE-2022-24504 |
||
CVE-2022-38000 |
||
CVE-2022-22035 |
||
CVE-2022-30198 |
||
CVE-2022-33634 |
||
CVE-2022-41081 |
Microsoft Office
Microsoft Office es un paquete de software de cliente. En el Patch Tuesday de octubre se han corregido varias vulnerabilidades importantes en las aplicaciones de Office. Tres de estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario si un agente malintencionado las consigue explotar. Otra vulnerabilidad (CVE-2022-38001) se enmarca en la categoría de suplantación, que suponemos que permite la coacción de autenticación. Dado que Microsoft informa de que los problemas no se pueden desencadenar desde el Panel de vista previa, asumimos que estas vulnerabilidades están relacionadas con las macros, ya que estas requieren la interacción del usuario para mostrarse o ejecutarse.
Recomendaciones generales
Las vulnerabilidades están relacionadas con el paquete de aplicaciones de Microsoft Office y no con Office 365, por lo que los clientes que utilicen Microsoft Office deben actualizar sus equipos. Debido al hecho de que las distintas aplicaciones de Microsoft Office exponen una gran superficie de ataque y presentan vulnerabilidades recurrentes, recomendamos que use Protección de aplicaciones para Office, si es posible. Protección de aplicaciones realiza una prueba segura del proceso por medio del que se abren los archivos adjuntos y, por lo tanto, evitará que el equipo host resulte dañado en caso de que la explotación sea satisfactoria.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución de código arbitrario |
Local/remoto. La vulnerabilidad requiere la interacción del usuario (por ejemplo, abrir un documento o permitir macros). |
|
Suplantación |
Servicios de certificados de Active Directory
Los servicios de dominio de Active Directory (AD DS) son uno de los componentes principales de Active Directory. Los servidores que ejecutan esta función son los controladores de dominio del dominio de Windows.
Análisis del alcance
Hay al menos un servidor Windows Server que ejecuta AD DS en cada red de dominio de Windows: el controlador de dominio.
La vulnerabilidad de este mes se encuentra en realidad en los servicios de certificados de Active Directory (AD CS), que no está disponible de forma predeterminada; requiere una instalación de función adicional. En nuestros servidores de Windows Server supervisados en entornos de clientes, podemos observar que el 66 % de nuestras redes supervisadas tienen un servidor con la función AD CS.
Se sabe que los agentes de amenazas atacan AD CS, siendo el ejemplo más reciente conocido de PetitPotam, donde se utilizó en el flujo de ataque como el objetivo del relé NTLM (mediante una investigación excelente llevada a cabo por SpecterOps).
Recomendaciones generales
Dado que los servidores de AD CS son pocos y están muy alejados, se debería poder utilizar la segmentación de red para limitar o tener visibilidad de las conexiones anómalas. Como la autenticación de AD CS se produce a través de RPC, puede ser difícil de detectar solamente con los metadatos de la conexión (ya que se produce en un puerto efímero aleatorio), que es lo que proporcionan la mayoría de las soluciones de segmentación. En ese caso, aún debería ser posible segmentar las conexiones RPC salientes desde servidores de Windows (utilizando el puerto 135 del asignador de terminales RPC), especialmente a equipos de escritorio que no deberían recibir conexiones RPC.
Análisis de CVE
Con CVE-2022-37976, el ataque no se dirige necesariamente a los servidores de AD CS, sino que se basa en ellos como único requisito. El ataque es más bien un ataque de coacción de autenticación en servidores DCOM. Según Microsoft, un cliente DCOM malicioso puede utilizar la vulnerabilidad para hacer que un servidor DCOM se autentique en el cliente mediante AD CS y retransmita esa autenticación para llegar finalmente a un token de administrador de dominio.
Por otro lado, CVE-2022-37978 gira en torno a la autenticación NTLM. Dado que en la pregunta frecuente de la vulnerabilidad se especifica que el ataque requiere una técnica de tipo máquina intermediaria ("machine in the middle"/MITM) y que está relacionado con la autenticación NTLM, creemos que esta vulnerabilidad gira en torno a la omisión de las mitigaciones de retransmisión NTLM que existen en los servidores AD CS.
Número de CVE |
Efecto |
Acceso necesario |
Un atacante puede conseguir privilegios de administrador de dominio al coaccionar la autenticación con AD CS desde un servidor DCOM y llevar a cabo un ataque con distintos protocolos |
Red |
|
Un atacante que utilice un ataque MITM puede omitir una característica de seguridad en la autenticación NTLM |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.