CISA insta a corregir el error de Windows 11 explotado antes del 2 de agosto

Una vulnerabilidad de Windows 11, parte del resumen de correcciones del martes de parches de Microsoft, se está explotando de forma salvaje, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a recomendar parchear la falla de elevación de privilegios antes del 2 de agosto.

La recomendación está dirigida a las agencias federales y preocupaciones CVE-2022-22047, una vulnerabilidad que tiene una puntuación CVSS alta (7.8) y expone el subsistema de tiempo de ejecución del servidor del cliente de Windows (CSRSS) utilizado en Windows 11 (y versiones anteriores que datan de 7) y también en Windows Server 2022 (y versiones anteriores 2008, 2012, 2016 y 2019) para atacar.

[Evento bajo demanda GRATIS: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de manera segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.]

El error CSRSS es una vulnerabilidad de elevación de privilegios que permite a los adversarios con un punto de apoyo preestablecido en un sistema objetivo ejecutar código como un usuario sin privilegios. Cuando el equipo de seguridad de Microsoft informó por primera vez sobre el error a principios de este mes, se clasificó como un error de día cero o un error conocido sin parche. Ese parche estuvo disponible el Martes de julio 5.

Los investigadores de FortiGuard Labs, una división de Fortinet, dijeron que la amenaza que representa el error para las empresas es "mediana". En un boletín, los investigadores explican la calificación degradada porque un adversario necesita acceso "local" o físico avanzado al sistema de destino para explotar el error y hay un parche disponible.

Dicho esto, un atacante que haya obtenido previamente acceso remoto a un sistema informático (a través de una infección de malware) podría explotar la vulnerabilidad de forma remota.

“Aunque no hay más información sobre la explotación publicada por Microsoft, se puede suponer que una ejecución de código remoto desconocido permitió a un atacante realizar un movimiento lateral y escalar privilegios en máquinas vulnerables a CVE-2022-22047, lo que finalmente permitió privilegios de SISTEMA, ”, escribió FortiGuard Labs.

Puntos de entrada de documentos de Office y Adobe

Si bien la vulnerabilidad se está explotando activamente, no se conocen vulnerabilidades de prueba de concepto públicas en la naturaleza que se puedan usar para ayudar a mitigar o, a veces, impulsar los ataques, según un reportaje de The Record.

“La vulnerabilidad permite que un atacante ejecute código como SISTEMA, siempre que pueda ejecutar otro código en el objetivo”, escribió Trend Micro. Zero Day Initiative (ZDI) en su Patch Tuesday resumen la semana pasada.

“Los errores de este tipo generalmente se combinan con un error de ejecución de código, generalmente un documento de Office o Adobe especialmente diseñado, para hacerse cargo de un sistema. Estos ataques a menudo se basan en macros, razón por la cual tantos se desanimaron al escuchar la demora de Microsoft en bloquear todas las macros de Office de manera predeterminada”, escribió el autor de ZDI, Dustin Childs.

Microsoft dijo recientemente que bloquearía el uso de macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en algunas de sus aplicaciones de Office, sin embargo, no estableció una línea de tiempo para hacer cumplir la política.

CISA agregó el error de Microsoft a su lista de ejecución de vulnerabilidades explotadas conocidas el 7 de julio (busque "CVE-2022-22047" para encontrar la entrada) y recomienda simplemente "aplicar actualizaciones según las instrucciones del proveedor".

[Evento bajo demanda GRATIS: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de manera segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.]

Imagen: Cortesía de Microsoft