El martes, Microsoft lanzó parches de seguridad que incluyen un total de 71 vulnerabilidades en Microsoft Windows y otro software, incluida una corrección para una vulnerabilidad de escalada de privilegios explotada activamente que podría explotarse junto con errores de ejecución remota de código para tomar el control de sistemas vulnerables.

Dos de las vulnerabilidades abordadas se califican como críticas, 68 se califican como críticas y una se califica como de baja gravedad, y tres de los problemas se enumeran como conocidos públicamente en el momento del lanzamiento. Los cuatro días cero son los siguientes:

• CVE-2021-40449 (Puntuación CVSS: 7.8) – Win32k Elevation of Privilege Vulnerability
• CVE-2021-41335 (Puntuación CVSS: 7,8) – Aumento de las vulnerabilidades del kernel de Windows
• CVE-2021-40469 (Puntuación CVSS: 7,2) – Vulnerabilidad en la ejecución remota de código DNS de Windows
• CVE-2021-41338 (Puntuación CVSS: 5,5) – Vulnerabilidad que elude las reglas de seguridad de Windows AppContainer Firewall

En la parte superior de la lista se encuentra CVE-2021-40449, una vulnerabilidad después de su uso en el controlador del kernel Win32k que Kaspersky identificó como explotable en la naturaleza a fines de agosto y principios de septiembre de 2021 como parte de una campaña de espionaje de TI a gran escala. empresas, contratistas de defensa y cuerpos diplomáticos. La compañía rusa de seguridad cibernética llamó al grupo de amenazas «MysterySnail».

«Similitud de código y reutilización de C2 [command-and-control] la infraestructura que descubrimos nos permitió vincular estos ataques con un actor conocido como IronHusky y el APT de habla china de 2012”, dijeron los investigadores de Kaspersky Boris Larin y Costin Raiu en el registro técnico de las cadenas de suministro infecciosas. Un troyano de acceso remoto que puede recopilar y filtrar información del sistema de hosts comprometidos antes de comunicarse con su servidor C2 para obtener más instrucciones.

Otras vulnerabilidades que incluyen vulnerabilidades de ejecución remota de código que afectan a Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 y CVE-2021-40461), SharePoint Server (CVE-2021-40487 y CVE -2021-41344) y Microsoft Word (CVE-2021-40486), así como un error al revelar información en el Rich Text Edit Control (CVE-2021-40454).

CVE-2021-26427, que tiene un puntaje CVSS de 9.0 y fue identificado por la Agencia de Seguridad Nacional de EE. UU., reitera que «los servidores de Exchange son un objetivo de alto valor para los piratas informáticos que desean ingresar a las redes comerciales», Bharat Jogi, gerente senior de investigación. vulnerabilidades y amenazas en Qualys, dijo.

El lanzamiento del martes de parches de octubre viene acompañado de correcciones a dos deficiencias recién descubiertas en el componente Print Spooler, CVE-2021-41332 y CVE-2021-36970, cada una de las cuales aborda una vulnerabilidad de divulgación de información y una vulnerabilidad de suplantación de identidad que se ha identificado como » La explotación es más probable’.

«Una vulnerabilidad de suplantación de identidad generalmente indica que un atacante podría hacerse pasar por otro usuario o identificarse con él», dijo el investigador de seguridad ollypwn. El lo notó en un hilo en Twitter. «En este caso, parece que un atacante podría explotar el servicio Spooler para cargar archivos arbitrarios en otros servidores».

Parches de software de terceros

Además de Microsoft, varios otros proveedores han lanzado parches que abordan varias vulnerabilidades, que incluyen: