A día 14 de abril de 2021, vulnerabilidades críticas para varios servicios de Microsoft, incluyendo Exchange On-Premise, han sido corregidas junto con otro gran conjunto de vulnerabilidades importantes. Suman un total de 114 CVEs (Common Vulnerabilities and Exposures) distintos para aplicaciones y servicios tales como Microsoft Windows, Microsoft Edge, Azure, Azure DevOps, Microsoft Office, Sharepoint Server, Hyper-V, Team Foundation Server, Visual Studio, y Exchange Server.
Análisis
Como es habitual, los miércoles a mediados de cada mes, Microsoft publica su post rutinario de actualización mensual. Siendo un total de 114 vulnerabilidades parcheadas [2], Microsoft recomienda priorizar por aquellas que corrigen las vulnerabilidades críticas [1]. De entre estos 114 CVE, 19 han sido clasificados como críticos, 88 como importantes, y uno como moderado. Adicionalmente, seis vulnerabilidades han afectado al navegador Edge (basado en chromium) debido a una reciente actualización de Chromium.
Los CVE clasificados como críticos se muestran en la siguiente tabla:
| CVE asignado | Nombre | Puntuación CVSSv3 |
|---|---|---|
|
Azure Sphere Unsigned Code Execution Vulnerability |
8.1 |
|
|
Microsoft Exchange Server Remote Code Execution Vulnerability |
9.8 |
|
|
Microsoft Exchange Server Remote Code Execution Vulnerability |
9.8 |
|
|
Microsoft Exchange Server Remote Code Execution Vulnerability |
8.8 |
|
|
Microsoft Exchange Server Remote Code Execution Vulnerability |
9 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Remote Procedure Call Runtime Remote Code Execution Vulnerability |
8.8 |
|
|
Windows Media Video Decoder Remote Code Execution Vulnerability |
7.8 |
|
|
Windows Media Video Decoder Remote Code Execution Vulnerability |
7.8 |
Según Microsoft, ninguna de estas vulnerabilidades críticas está siendo activamente explotada. La única actualmente explotada corresponde a una no crítica, CVE-2021-28310, con una puntuación CVSSv3 de 7.8, de tipo elevación de privilegios (EoP, por sus siglas en inglés) en Win32k. No obstante animan a parchear lo antes posible ya que es muy probable que otras vulnerabilidades de igual o mayor criticidad sean pronto explotadas.
Recomendaciones
Se recomienda aplicar de forma inmediata las actualizaciones publicadas por Microsoft [3], prestando especial atención a aquellas vulnerabilidades encontradas en Microsoft Exchange On-Premise [4], las cuales han obtenido las mayores puntuaciones CVSSv3.
Referencias
- [1] https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/
- [2] https://www.zerodayinitiative.com/blog/2021/4/13/the-april-2021-security-update-review
- [3] https://msrc.microsoft.com/update-guide
- [4]https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617