Vulnerabilidades Críticas en servicios de Microsoft

ANÁLISIS

A día 14 de abirl de 2021, Microsoft ha publicado su post rutinario de actualización mensual. En este post recomiendan priorizar las vulnerabilidades críticas [1] de entre todas las vulnerabilidades corregidas, siendo un total de 114 CVEs parcheados [2]. De entre estos 114 CVE, 19 han sido clasificados como críticos, 88 como importantes, y uno como moderado. Adicionalmente, seis vulnerabilidades han afectado al navegador Edge (basado en chromium) debido a una reciente actualización de Chromium. 

Los CVE con clasificados como críticos son los mostrados en la siguiente tabla:

Assigned CVE          Title                                                                                                     CVSSv3 score

CVE-2021-28460     Azure Sphere Unsigned Code Execution Vulnerability                                 8.1

CVE-2021-28480     Microsoft Exchange Server Remote Code Execution Vulnerability              9.8

CVE-2021-28481     Microsoft Exchange Server Remote Code Execution Vulnerability              9.8

CVE-2021-28482     Microsoft Exchange Server Remote Code Execution Vulnerability              8.8

CVE-2021-28483     Microsoft Exchange Server Remote Code Execution Vulnerability              9

CVE-2021-28329     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28330     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28331     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28332     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28333     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28334     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28335     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28336     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28337     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28338     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28339     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-28343     Remote Procedure Call Runtime Remote Code Execution Vulnerability     8.8

CVE-2021-27095     Windows Media Video Decoder Remote Code Execution Vulnerability      7.8

CVE-2021-28315     Windows Media Video Decoder Remote Code Execution Vulnerability      7.8

Según Microsoft, ninguna de estas vulnerabilidades críticas está siendo activamente explotada, siendo el único actualmente explotado el CVE-2021-28310, con una puntuación CVSSv3 de 7.8, de elevación de privilegios (EoP, por sus siglas en inglés) con Win32k. Adicionalmente, Microsoft también ha informado de que tan sólo se ha publicado la explotabilidad de cuatro vulnerabilidades, ninguna de ellas entre las críticas, siendo estas CVE-2021-28458 (EoP - 7.8) , CVE-2021-27091 (EoP - 7.8),  CVE-2021-28437  (revelación  de información - 5.5), and CVE-2021-28312 (denegación de servicio - 3.3). 

RECOMENDACIONES 

Se recomienda aplicar de forma inmediata las actualizaciones publicadas por Microsoft [3], prestando especial atención a aquellas vulnerabilidades para Microsoft Exchange On-Premise [4], las cuales han obtenido las mayores puntuaciones CVSSv3. 

REFERENCIAS

[1] https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/
[2] https://www.zerodayinitiative.com/blog/2021/4/13/the-april-2021-security-update-review
[3] https://msrc.microsoft.com/update-guide
[4] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617