Vulnerabilidades de ejecución remota de código en Windows

ANÁLISIS

CVE-2022-26809 [2]

Esta vulnerabilidad se encuentra en la funcionalidad de Microsoft Server Message Block (SMB). El protocolo SMB se utiliza principalmente para compartir archivos y para la comunicación entre procesos, incluidas las llamadas a procedimientos remotos (RPC). Utilizando la vulnerabilidad, un atacante puede crear una RPC especialmente diseñada para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC. Microsoft recomienda configurar algunas reglas del firewall [3] para ayudar a evitar que esta vulnerabilidad sea explotada. Sin embargo, para los clientes que requieren esta funcionalidad, esta guía tiene una eficacia limitada.

CVE-2022-24491 y CVE-2022-24497 [4][5]

En sistemas donde el rol NFS está habilitado, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario. Al igual que en el caso de RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) "es amigable con los firewall y simplifica el despliegue de NFS". Compruebe sus instalaciones y despliegue estos parches rápidamente.

RECOMENDACIONES

Aplique los parches de Microsoft.

REFERENCIAS

[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) - Help Net Security 
[2] CVE-2022-26809 - Security Update Guide - Microsoft - Remote Procedure Call Runtime Remote Code Execution Vulnerability 
[3] Secure SMB Traffic in Windows Server | Microsoft Docs 
[4] CVE-2022-24491 - Security Update Guide - Microsoft - Windows Network File System Remote Code Execution Vulnerability 
[5] CVE-2022-24497 - Security Update Guide - Microsoft - Windows Network File System Remote Code Execution Vulnerability