Microsoft ha lanzado actualizaciones de seguridad, en un anuncio oficial del mes de febrero que subsanan un total de 94 vulnerabilidades: 51 de severidad alta, 2 de severidad media y 41 sin severidad asignada.
Entre ellas se destacan:
- CVE-2022-21984 de severidad alta, con una puntuación de 7.7. Esta vulnerabilidad se debe a una falla en el componente DNS Server. Esto permitiría a un atacante realizar ejecución remota de comandos (RCE). Son afectadas las siguientes versiones de Windows:
- Windows 10 20H2
- Windows 10 21H1
- Windows 10 21H2
- Windows 10 1809
- Windows 10 1909
- Windows Server 2019
- Windows Server 2020H2
- Windows Server 2022
- CVE-2022-21986 de severidad alta, con una puntuación de 8.8. Esta vulnerabilidad se debe a un error de un componente del Windows Domain Server. Esto permitiría a un atacante realizar ejecución remota de comandos (RCE). Son afectadas las siguientes versiones de Windows:
- Windows Server 2022
- Windows Server 20H2
- CVE-2022-21971 de severidad media, con una puntuación de 6.8. Esta vulnerabilidad es debida a una falla en el componente runtime. Esto permitiría a un atacante realizar ejecución remota de comandos (RCE). Son afectadas las siguientes versiones de Windows:
- Windows 10 20H2
- Windows 10 21H1
- Windows 10 21H2
- Windows 10 1809
- Windows 10 1909
- Windows Server 2019
- Windows Server 2020H2
- Windows Server 2022
Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.
Recomendamos actualizar el sistema operativo descargando e instalando las actualizaciones proveídas por Microsoft, a través de la siguiente guía:
Referencias:
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21971
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21984#exploitability
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21984#exploitability
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21986
- https://dirteam.com/sander/2022/02/08/windows-server-2022-suffers-a-windows-dns-server-remote-code-execution-vulnerability-cve-2022-21984/