Introducción
Microsoft ha publicado parches para 128 vulnerabilidades con numeración CVE. Tres de ellas son vulnerabilidades de ejecución remota de código (CVE-2022-26809, CVE-2022-24491, CVE-2022-24497) con una puntuación CVSS de 9,8 [1].
Análisis
CVE-2022-26809 [2]
Esta vulnerabilidad se encuentra en la funcionalidad de Microsoft Server Message Block (SMB). El protocolo SMB se utiliza principalmente para compartir archivos y para la comunicación entre procesos, incluidas las llamadas a procedimientos remotos (RPC). Utilizando la vulnerabilidad, un atacante puede crear una RPC especialmente diseñada para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC. Microsoft recomienda configurar algunas reglas del firewall [3] para ayudar a evitar que esta vulnerabilidad sea explotada. Sin embargo, para los clientes que requieren esta funcionalidad, esta guía tiene una eficacia limitada.
CVE-2022-24491 y CVE-2022-24497 [4][5]
En sistemas donde el rol NFS está habilitado, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario. Al igual que en el caso de RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) «es amigable con los firewall y simplifica el despliegue de NFS». Compruebe sus instalaciones y despliegue estos parches rápidamente.
Recomendaciones
Aplique los parches de Microsoft. Aplique también si procede las configuraciones de firewall recomendadas en [3]
Referencias
[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) – Help Net Security