La perspectiva de Akamai sobre el Patch Tuesday de septiembre
El Patch Tuesday de septiembre de Microsoft se ha publicadoy, en el grupo de inteligencia sobre seguridad de Akamai, hemos querido analizar las vulnerabilidades más interesantes para las que se han aplicado parches. En este informe, trataremos de evaluar la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados, además de proporcionar nuestra propia perspectiva sobre los errores que se han corregido. Esté atento a esta información los jueves después de cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Para cada servicio afectado que analicemos, trataremos de ofrecer recomendaciones para la supervisión y mitigación cuando no sea posible aplicar parches, ya sea citando las recomendaciones de Microsoft u ofreciendo soluciones alternativas basadas en nuestra propia experiencia. Por supuesto, ninguna mitigación es tan eficaz como la aplicación de parches, así que asegúrese de aplicarlos a sus sistemas siempre que sea posible y de mantenerlos actualizados.
Vulnerabilidades de IPSec
IPSec es un grupo de conjuntos de protocolos de red seguros que cifra y autentica paquetes de datos entre equipos a través de una red IP. IPSec se utiliza principalmente en VPN.
Este Patch Tuesday introduce tres vulnerabilidades críticas de ejecución remota de código en dos protocolos principales en IPSec: IKEv1 e IPv6.
Las vulnerabilidades están presentes en el flujo de código responsable del procesamiento y análisis de paquetes entrantes. Debido a esto, y dado que un atacante no autenticado puede desencadenarlos de forma remota, todos se clasifican como críticos y se les da una puntuación del CVSS de 9,8.
Extensiones de protocolo de intercambio de claves por red de Windows
El intercambio de claves por red (IKE) es uno de los protocolos comunes utilizados para la negociación de claves de cifrado.
Alcance
Los sistemas con IPSec habilitado que utilizan IKEv1 son vulnerables. Los servidores Windows son vulnerables, ya que habilitan tanto IKEv1 como IKEv2.
Recomendaciones generales
Se recomienda a las organizaciones deshabilitar IPSec si no se utiliza.
CVE
Yuki Chen, de Kunlun Lab, identificó las vulnerabilidades de IKE. La causa de las vulnerabilidades parece ser el desbordamiento o subdesbordamiento de enteros en las funciones IkeQueueRecvRequest, IkeDecryptOakNDPackety IkeDecryptOakPacket, que puede dar lugar a una escritura prohibida. Estas vulnerabilidades no requieren que un atacante envíe varias solicitudes, lo que hace que su explotación sea más factible.
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Red |
|
IPv6
Alcance
Los sistemas con IPSec e IPv6 habilitados son vulnerables a este error.
Recomendaciones generales
Se recomienda a las organizaciones deshabilitar IPSec si no se utiliza.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Red |
Vulnerabilidades de Microsoft Dynamics CRM
Microsoft Dynamics CRM forma parte de Microsoft Dynamics 365. Aunque normalmente se ofrece como un servicio basado en la nube, las vulnerabilidades críticas que se corrigen con el parche de este mes son para la instalación local de la aplicación. Ambas vulnerabilidades se consideran críticas, tienen una puntuación del CVSS de 8,8 y las identificó Fabian Schmidt.
Alcance
Es necesario implementar Microsoft Dynamics CRM antes de poder utilizarlo o acceder a él, pues no está implementado por defecto. Dado que su lista de puertos es bastante general, una buena forma de identificar su presencia es buscar la clave de registro "HKLM\SOFTWARE\Microsoft\MSCRM". En nuestros entornos supervisados, este producto era raro hasta el punto de su inexistencia.
Recomendaciones generales
Aunque la aplicación de parches debe ser la prioridad inmediata, en el caso de que no se pueda realizar de forma inmediata, creemos que debería ser posible reducir el vector de ataque mediante la segmentación. La segmentación se puede realizar en dos niveles:
Acordonamiento: puede limitar el alcance de las estaciones de trabajo que pueden acceder a los servidores CRM solo a los empleados que deberían acceder al sistema (normalmente personal de TI y Servicio al cliente).
Además, si los servidores CRM solo ejecutan CRM y nada más, también puede limitar la comunicación de red a la lista de puertos necesarios para CRM, según la documentación de Microsoft.
Segmentación basada en el usuario: dado que el ataque requiere un usuario autenticado, también debería ser un buen vector de mitigación.
CVE
Número de CVE |
Efecto |
Acceso necesario |
SQLi conduce a la ejecución de comandos |
Acceso a la red con un usuario autenticado |
|
Vulnerabilidades de OLE DB y ODBC
OLE DB y ODBC son especificaciones API diseñadas para abstraer la conexión entre un consumidor de datos y un origen de datos. Mientras que ODBC es anterior y de procedimiento, OLE DB es más reciente, se implementa mediante el Modelo de objetos componentes (COM) y también admite bases de datos no relacionales.
El investigador Haifei Li identificó once vulnerabilidades de ejecución remota de código, todas marcadas como importantes y con una puntuación del CVSS de 8,8. Es probable que Li haya realizado un gran esfuerzo para explotar los mecanismos utilizados para la conectividad de bases de datos en Windows. Seis de las vulnerabilidades se encuentran en el proveedor OLE DB para SQL Server y las otras cinco en el controlador ODBC.
Vulnerabilidades de OLE DB
Las seis vulnerabilidades de OLE DB tienen exactamente la misma descripción del flujo de ataque que se incluye en sus secciones de preguntas más frecuentes. La descripción contiene un error (sobre el que hemos informado al Centro de respuestas de seguridad de Microsoft). Menciona que un servidor controlado por el atacante recibe un paquete malicioso en lugar de enviarlo. A continuación se muestra el texto corregido:
Un atacante podría aprovechar la vulnerabilidad persuadiendo a un usuario autenticado para que se conecte a un servidor SQL malintencionado a través de OLEDB, lo que podría provocar que el servidor envíe un paquete de red malicioso. Esto podría permitir al atacante ejecutar código de forma remota en el cliente.
El atacante debe ejecutar un determinado desencadenante en el equipo de la víctima, que intentará conectarse a un servidor remoto controlado por el atacante. Este último enviará un paquete malicioso, lo que dará lugar a la ejecución de código en el sistema cliente.
Alcance
Las bibliotecas responsables de implementar la especificación OLE DB están disponibles en todos los sistemas Windows. Por lo tanto, para la explotación no se requiere la instalación de ninguna aplicación, servicio o función de servidor en un equipo para que sea vulnerable.
Recomendaciones generales
El aprovechamiento de las vulnerabilidades de OLE DB se puede evitar mediante la segmentación. Una lista de autorización de servidores SQL de la organización garantizará que no se realicen conexiones a servidores externos desconocidos, evitando así la cadena de ataque descrita anteriormente.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código en el proveedor de OLE DB |
Red, pero requiere la interacción de un usuario autenticado |
|
Vulnerabilidades de ODBC
El escenario de ataque (para las cinco vulnerabilidades) implica engañar a un usuario autenticado para que abra un archivo malicioso en Microsoft Access, una aplicación del sistema de administración de bases de datos (DBMS) que es miembro del conjunto de aplicaciones Microsoft 365. El archivo malicioso se debe abrir a través de ODBC, lo que activará el código vulnerable en el controlador ODBC y dará lugar a la ejecución de código arbitrario en el equipo de la víctima con el mismo nivel de permiso que el proceso de acceso.
El archivo malicioso debería estar en formato MDB, que especifica la estructura y las entradas de una base de datos, y (opcionalmente) formularios de entrada de datos, consultas, procedimientos almacenados, etc. El formato de archivo MDB es relativamente antiguo y su sucesor de Access 2007, el archivo .accdb, ofrece funciones y capacidades adicionales.
Alcance
Según varios recursos, 135 000 organizaciones utilizan la aplicación Microsoft Access como su solución DBMS. Entre los entornos que supervisamos, el 27 % de los centros de datos tiene instalada la aplicación Microsoft Access en algunos de los equipos de red.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código en el controlador ODBC |
Red, pero requiere la interacción de un usuario autenticado |
|
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Acceso a la red con un usuario autenticado con permisos de administración de listas |
|
Acceso a la red con un usuario autenticado con permisos de creación de páginas |
Vulnerabilidad de tiempo de ejecución de llamada a procedimiento remoto
La llamada a procedimiento remotoRPC) se utiliza para comunicaciones entre procesos eficaces. Se basa en un modelo cliente-servidor estándar y es uno de los protocolos más utilizados en Windows en la actualidad. Microsoft utiliza RPC como parte de muchos de los servicios de Windows.
La vulnerabilidad permite a un atacante acceder a la funcionalidad de portmap.sys, que es un servicio que asigna un programa RPC de Open Network Computing a una dirección de red.
Alcance
La vulnerabilidad solo está presente en los servidores Windows.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Ejecución remota de código |
Red |
Vulnerabilidades de Kerberos de Windows
Kerberos es la columna vertebral de la arquitectura de dominio de Windows. Es el mecanismo de autenticación predeterminado, que ha reemplazado a New Technology LAN Manager. Hay dos vulnerabilidades esta vez, ambas descubiertas por James Forshaw. Ambas vulnerabilidades giran en torno a la degradación del cifrado y tienen una puntuación del CVSS de 8,1. Al modificar la conexión entre la víctima y el controlador de dominio para utilizar el cifrado RC4-MD4 más débil, un atacante podría descifrar la clave de sesión de Kerberos de la víctima para la elevación de privilegios.
Alcance
Kerberos forma parte de cada arquitectura de dominio de Windows.
Recomendaciones generales
La recomendación de Microsoft es que Kerberos Armoring puede proteger de ambas vulnerabilidades. Puede visitar esta página para obtener más información. El investigador de vulnerabilidades James Forshaw ha mencionado que no basta con habilitar Kerberos Armoring y que el KDC debe hacer cumplir este requisito, no solo apoyarlo.
Además, uno de los requisitos para que las vulnerabilidades prosperen es un ataque de suplantación (pero Forshaw afirma que no es necesariamente el caso de CVE-2022-33679), de modo que el atacante se encuentre entre la víctima y el controlador de dominio. Los ataques de suplantación son un vector de ataque común y pueden ser bastante "escandalosos". Por lo tanto, el uso de soluciones IDS o IPS, o la búsqueda activa de amenazas, puede ayudar a aliviar parte del riesgo.
CVE
Número de CVE |
Efecto |
Acceso necesario |
Mitigación además de la aplicación de parches |
Elevación de privilegios, hasta el SISTEMA |
Red, con suplantación entre la víctima y el controlador de dominio |
||
Red |
Habilitar la autenticación previa de Kerberos sin clave RC4 |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.