La perspectiva de Akamai sobre el Patch Tuesday de agosto
Por Investigación sobre seguridad de Akamai
El Patch Tuesday de agosto de Microsoft se ha publicadoy en Investigación sobre seguridad de Akamai hemos querido analizar las vulnerabilidades más intrigantes a las que se han aplicado los parches. En este informe, trataremos de evaluar la importancia real de las vulnerabilidades, lo comunes que son las aplicaciones y los servicios afectados, y proporcionar nuestra propia perspectiva sobre los errores que se han corregido. Esté atento a esta información los miércoles después de cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en cuatro áreas en las que se han aplicado parches a los errores:
Protocolo punto a punto (PPP) de Windows
Protocolo de túnel de sockets seguros de Windows (SSTP)
Network File System (NFS)
Servicios de certificados de Active Directory (AD CS)
Microsoft Exchange Server
Para cada servicio afectado que analicemos, trataremos de ofrecer recomendaciones para la supervisión y mitigación cuando no sea posible aplicar parches, ya sea citando las recomendaciones de Microsoft u ofreciendo soluciones alternativas propias, derivadas de nuestra experiencia. Por supuesto, ninguna mitigación es tan eficaz como la aplicación de parches, así que asegúrese de aplicar los parches a sus sistemas siempre que sea posible y de mantenerlos actualizados.
Vulnerabilidades del servidor de acceso remoto
Este Patch Tuesday introdujo vulnerabilidades críticas en dos protocolos principales en el servidor de acceso remoto (RAS): el protocolo punto a punto y el protocolo de túnel de sockets seguros.
El acceso remoto es una función de Windows Server que permite que los clientes remotos se conecten a la LAN, de forma similar a una VPN. Es necesario añadir activamente la función de servidor.
Protocolo punto a punto de Windows
El protocolo punto a punto (PPP) está integrado en el RAS y proporciona capacidades de encuadramiento y autenticación para conexiones remotas.
Se encontraron cuatro vulnerabilidades en el PPP: dos vulnerabilidades críticas de ejecución remota de código con una puntuación del CVSS de 9,8 y dos vulnerabilidades de denegación de servicio (con una puntuación de 7,5 y 5,9). Según los avisos de Microsoft, un atacante remoto no autenticado podría obtener la ejecución de código en un servidor del RAS enviando una solicitud de conexión especialmente diseñada.
Se dice que la explotación de las cuatro vulnerabilidades es menos probable, lo que sugiere que desencadenar las vulnerabilidades o aprovecharlas podría ser difícil o, al menos, nada trivial.
¿Qué importancia tiene el PPP? De todos los servidores Windows Server que consultamos en nuestros entornos supervisados, el 40 % de ellos reciben conexiones a través del puerto 1723, que es el puerto estándar para el protocolo de túnel punto a punto.
¿Dónde está el error?
Análisis de CVE
| Número de CVE | Efecto | Acceso necesario | Mitigación además de la aplicación de parches |
|---|---|---|---|
| CVE-2022-35744 | Ejecución remota de código | Red | Desactivar el puerto 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | Denegación de servicio | - | |
| CVE-2022-35747 |
Protocolo de túnel de sockets seguros de Windows
Según Microsoft Developer Network, el protocolo de túnel de sockets seguros (SSTP) de Windows es un mecanismo para encapsular el tráfico del PPP a través de HTTPS. Básicamente, este protocolo permite a los usuarios acceder a una red privada mediante el uso de HTTPS.
Se han aplicado parches a seis vulnerabilidades de ejecución remota de código con una puntuación del CVSS de 8,1. Se han aplicado parches a otros dos errores de ejecución remota de código, también con puntuaciones de 8,1, lo que nos hace suponer que estarían relacionados con el servicio SstpSvc. Se ha aplicado un parche a una vulnerabilidad de denegación de servicio con una puntuación de 5,3.
¿Dónde está el error? El servicio de Windows que proporciona compatibilidad para el SSTP es el SstpSvc, que finalmente ejecuta sstpsvc.dll.
Recomendaciones generales
Excepto la CVE-2022-34701, todas las vulnerabilidades implican una condición de carrera. Dado que los ataques que implican condiciones de carrera suelen requerir varios intentos (en un breve periodo de tiempo), es posible que el tráfico de red aumente, por lo que la supervisión de los picos y las tasas de picos de tráfico podría revelar los intentos de ataque.
Análisis de CVE
| Número de CVE | Efecto | Acceso necesario | Mitigación además de la aplicación de parches |
|---|---|---|---|
| CVE-2022-35766 | Un atacante no autenticado podría conseguir la ejecución remota de código en un equipo servidor RAS | Red | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | Un atacante no autenticado podría conseguir la ejecución remota de código : probablemente a través del servicio SstpSvc | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | Denegación de servicio |
Network File System
Network File System (NFS) es un protocolo de red desarrollado originalmente por Sun Microsystems para permitir el acceso remoto a los archivos a través de la red. Existe una implementación en Microsoft Windows, y la función NFS se puede añadir a un servidor para convertirlo en un servidor NFS.
Análisis del alcance
Es necesario añadir la función NFS a un servidor y cliente de Windows antes de poder utilizarla. Se incluye en la función de servidor "Servicios de archivos y de almacenamiento" en Windows Server.
NFS suele utilizar los puertos 111 (puerto EpMapper de SunRPC: las versiones anteriores de NFS se implementan a través de SunRPC) y 2049. Al analizar varios centros de datos, hemos detectado que solo el 0,1 % podrían ser potencialmente servidores NFSv4, y solo aproximadamente la mitad ejecutan Windows.
También creemos que la CVE de este mes fue introducida por una de las actualizaciones de seguridad más recientes, dado que la mitigación de Microsoft (desactivar NFS v4.1) advierte que debe realizarse solo en servidores a los que se han aplicado todos los parches, lo que implica que los servidores a los que no se han aplicado todos los parches podrían ser seguros.
Recomendaciones generales
Normalmente, recomendamos ver si es posible actualizar el servidor NFS para utilizar NFS v4.1, ya que es la versión más segura. La mayoría de las vulnerabilidades que giran en torno a NFS en este PT son para versiones anteriores del protocolo. Esta vez, sin embargo, la vulnerabilidad afecta solo a NFS v4, por lo que no podemos recomendar una actualización.
En su lugar, recomendamos aplicar segmentación en torno a los servidores NFS. Debe comprobar y observar si puede limitar (acordonar) los clientes NFS a un grupo más pequeño de servidores o estaciones de trabajo, y también limitar el tráfico saliente del servidor NFS. Como es un servidor, debe haber pocos motivos para que inicie conexiones. La segmentación podría limitar el impacto que puede tener una explotación satisfactoria.
Análisis de CVE
Número de CVE |
Efecto |
Acceso necesario |
Mitigación además de la aplicación de parches |
El atacante puede obtener la ejecución remota de código mediante llamadas no autenticadas a NFS v4 |
Red |
— Desactivar NFSv4 — Revertir las actualizaciones de seguridad (y mantener NFSv4, puesto que la mayoría de las CVE anteriores eran para versiones anteriores) |
Servicios de certificados de Active Directory
Los servicios de dominio de Active Directory (AD DS) son uno de los componentes principales de Active Directory. Los servidores que ejecutan esta función son los controladores de dominio del dominio de Windows.
Análisis del alcance
Hay al menos un servidor Windows Server que ejecuta AD DS en cada red de dominio de Windows: el controlador de dominio.
La vulnerabilidad de este mes se encuentra en realidad en los servicios de certificados de Active Directory (AD CS), que no está disponible de forma predeterminada; requiere una instalación de función adicional. En nuestros servidores Windows Server supervisados en entornos de clientes, podemos observar que el 66 % de nuestras redes supervisadas tienen un servidor con la función AD CS.
Se sabe que los agentes de amenazas atacan AD CS, siendo el ejemplo más reciente conocido de PetitPotam, donde se utilizó en el flujo de ataque como el objetivo del relé NTLM (mediante una investigación excelente llevada a cabo por SpecterOps).
Recomendaciones generales
Dado que el servicio AD CS solo debe instalarse en un número seleccionado de servidores (o incluso en un único servidor) de la red, que desempeñan un papel fundamental en la arquitectura de dominio, le recomendamos encarecidamente que aplique parches a dichos servidores lo antes posible.
Si no es posible, el parche de Mayo introdujo registros de eventos de Windows adicionales (después de otras CVE similares) que debería supervisar en caso de detección de actividades irregulares. Consulte KB5014754 para obtener más información.
Análisis de CVE
Número de CVE |
Efecto |
Acceso necesario |
Mitigación además de la aplicación de parches |
El atacante puede obtener privilegios del SISTEMA modificando determinados atributos de usuario seguido de una solicitud a AD CS |
Red |
Desactivar AD CS |
Microsoft Exchange Server
Microsoft Exchange Server es el servidor de correo desarrollado por Microsoft. Este mes se han aplicado parches a seis CVE, tres vulnerabilidades críticas de escalada de privilegios y tres vulnerabilidades importantes de divulgación de información. Estas vulnerabilidades afectan a las instalaciones locales de Exchange, no a las instancias de Office 365.
Análisis del alcance
Con la introducción de Office 365, cada vez son más las organizaciones que están abandonando la instalación local en favor del uso de las soluciones SaaS. Evidentemente, en nuestras redes supervisadas, solo el 40 % tiene un servidor Exchange en el entorno local.
Recomendaciones generales
Las vulnerabilidades de divulgación de información indican claramente que permiten a los atacantes leer correos específicos, pero Microsoft no declara explícitamente el efecto de las vulnerabilidades de escalada de privilegios. Creemos que pueden permitir que los atacantes envíen correos electrónicos en nombre de otros usuarios. Puesto que también se clasifican como "Exploitation More Likely" (explotación de interés para un atacante), recomendamos encarecidamente aplicar parches a los servidores de Exchange y activar Protección ampliada. Para obtener más información, consulte el blog de Exchangede Microsoft.
Además, algunas de estas vulnerabilidades requieren que el servidor de Exchange acceda a un servidor malicioso que esté bajo el control del atacante. Si puede asignar los pares requeridos por el servidor Exchange local (servidores de correo externos, bases de datos, etc.) y crear reglas de acordonamiento para ellos, esto también podría ser una mitigación efectiva.
Análisis de CVE
Número de CVE |
Efecto |
Acceso necesario |
Mitigación además de la aplicación de parches |
Un ataque satisfactorio puede permitir a un atacante leer y enviar correos electrónicos |
Red |
— Acordonar conexiones salientes desde servidores Exchange |
|
Red, acceso a servidor malicioso |
|||
Un atacante autenticado podría leer y enviar correos electrónicos |
Red, autenticación |
||
Lectura de correos electrónicos específicos |
Red |
||
Red, acceso a servidor malicioso |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.
