Cabecera-v2-web.jpg

Vulnerabilidades críticas en productos Microsoft


12/05/2022

Microsoft ha lanzado actualizaciones de seguridad, en un anuncio oficial del mes de mayo que subsanan un total de 75 vulnerabilidades, incluidas 3 de día cero. Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Crítica”, 67 (sesenta y siete) de severidad “Alta” y 1 (uno) de severidad “Baja”:

Las principales se detallan a continuación:

  • CVE-2022-26925 (Vulnerabilidad de falsificación de Windows LSA), vulnerabilidad de día cero, de severidad crítica que está siendo explotada activamente. La misma corresponde a una vulnerabilidad de suplantación de identidad en el LSA (local security authority) de Windows. Un atacante no autenticado podría obligar a los controladores de dominio a autenticarse en un servidor controlador del atacante mediante NTLM.
  • CVE-2022-26937 (Vulnerabilidad de ejecución remota de código del sistema de archivos de red de Windows), de severidad crítica, con una puntuación de 9.8. Esta se debe a un error desconocido que afecta al sistema de archivo de red de Windows (NFS). Esto permitiría a un atacante realizar ejecución remota de código (RCE) del sistema de archivos de red de Windows.
  • CVE-2022-29972 (Vulnerabilidad inyección de argumentos del controlador Redshift), de severidad crítica. Esta se debe a un error de autenticación basada en navegador del controlador ODBC de Amazon Redshift de Magnitude Simba. Esto permitiría a un atacante realizar ejecución remota de código (RCE).

Se puede acceder al listado completo de las vulnerabilidades aquí.

Los principales productos afectados son:

  • Microsoft Visual Studio, 2017, 2019, 2022.
  • Microsoft Office y sus componentes.
  • Microsoft .NET Framework, versiones anteriores a 4.8.
  • Microsoft Windows RT8.1, 8.1, 7.
  • Microsoft Windows Server, versiones 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022, 20H2.

Se recomienda instalar las actualizaciones correspondientes provistas por Microsoft, o bien, seguir las instrucciones para mitigar el riesgo asociado a cada CVE en el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11