Tres vulnerabilidades específicas de las instalaciones de Windows Server que se ejecutan como controladores de dominio

INTRODUCCIÓN

Este martes de parches, Microsoft abordó 68 vulnerabilidades. De estas vulnerabilidades, tres son específicas de las instalaciones de Windows Server que se ejecutan como controladores de dominio. Estas actualizaciones no son del tipo "actualizar y olvidar", sino que requieren algo más de trabajo.

ANÁLISIS

Las tres vulnerabilidades son:

CVE-2022-37966 Vulnerabilidad de Elevación de Privilegios de Windows Kerberos RC4-HMAC Cvss v3:8.1

CVE-2022-37967 Vulnerabilidad de elevación de privilegios de Windows Kerberos Cvss v3: 7.2

CVE-2022-38023 Vulnerabilidad de elevación de privilegios de Netlogon RPC Cvss v3: 8.1

CVE-2022-37966: Un atacante no autentificado podría llevar a cabo un ataque que podría aprovechar las vulnerabilidades del protocolo criptográfico en RFC4757 y MS-PAC (especificación de la estructura de datos de certificados de atributos de privilegio) para eludir las funciones de seguridad en un entorno de Active Directory.Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de administrador, la explotación exitosa de esta vulnerabilidad requiere que un atacante reúna información específica del entorno del componente objetivo.

La actualización que soluciona esta vulnerabilidad (CVE-2022-37966) introdujo cambios en el protocolo Kerberos. Estos cambios se describen en KB5021131.

CVE-2022-37967: Un atacante autenticado podría aprovechar las vulnerabilidades del protocolo criptográfico en Windows Kerberos. Si el atacante obtiene el control sobre el servicio que se permite delegar, puede modificar el PAC de Kerberos para elevar sus privilegios. Un atacante que explote con éxito esta vulnerabilidad podría obtener privilegios de administrador.La actualización que soluciona esta vulnerabilidad (CVE-2022-37967) introdujo cambios en el protocolo Kerberos. Estos cambios se describen en KB5020805.

CVE-2022-38023: La explotación exitosa de esta vulnerabilidad requiere que un atacante reúna información específica del entorno del componente objetivo. Un atacante que explote con éxito esta vulnerabilidad podría obtener privilegios de administrador.La actualización que soluciona esta vulnerabilidad (CVE-2022-38023) introdujo cambios en el protocolo Netlogon. Estos cambios se describen en KB5021130.

Todos los links de los cambios se pueden ver en las referencias.

Versiones afectadas:

CVE-2022-37966: 16 productos afectados que se pueden ver en el apartado de "Security Updates": https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966#securityUpdates

CVE-2022-37967: 16 productos afectados que se pueden ver en el apartado de "Security Updates": https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967#securityUpdates

CVE-2022-38023: 16 productos afectados que se pueden ver en el apartado de "Security Updates": https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38023#securityUpdates

RECOMENDACIONES

Se recomienda seguir la actualización recomendada por Microsoft para cada producto afectado que se puede encontrar en su link correspondiente del apartado anterior.

REFERENCIAS

https://dirteam.com/sander/2022/11/08/spend-some-time-on-properly-configuring-and-monitoring-your-domain-controllers-this-patch-tuesday/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
https://vuldb.com/es/?id.213116
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967
https://vuldb.com/es/?id.213117
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38023
https://vuldb.com/es/?id.213119
https://support.microsoft.com/es-es/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/es-es/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
https://support.microsoft.com/es-es/topic/kb5021130-how-to-manage-the-netlogon-protocol-changes-related-to-cve-2022-38023-46ea3067-3989-4d40-963c-680fd9e8ee25