El paquete de actualizaciones de seguridad de Microsoft correspondiente a septiembre se lanzó este martes y corrigió 66 vulnerabilidades en distintos productos de la compañía. Se destaca el parche para la CVE-2021-40444, una vulnerabilidad zero-day de ejecución remota de código en MSHTML, el motor de navegador de Internet Explorer. Recientemente Microsoft confirmó que la zero-day ha estado siendo explotada en ataques de phishing utilizando documentos de Office especialmente diseñados.
Si bien previo al parche los usuarios que abran un documento de Office estarán seguros siempre que no salgan de la vista protegida y habiliten la edición, según explicó a BleepingComputer Will Dorman, del centro de coordinación del CERT de Estados Unidos, lamentablemente un alto porcentaje de usuarios suele ignorar esta recomendación y habilita la edición. Además, Dorman afirmó que “los ataques explotando esta zero-day son más peligrosos que las macros, porque cualquier organización que haya elegido deshabilitar o limitar la ejecución de macros seguirá estando expuesta a la ejecución de código arbitrario con solo abrir un documento de Office”.
Al parecer, en algunos de los ataques intentando explotar esta vulnerabilidad se detectó la distribución de Cobalstrike Beacon como payload, el cual permite a los operadores detrás del ataque acceder al equipo de la víctima de manera remota para robar información y moverse lateralmente dentro de la red.
La noticia de este parche llega en gran momento, ya que la confirmación de explotación el pasado 7 de septiembre vino acompañada solamente de medidas provisorias de mitigación hasta tanto Microsoft lanzara el parche. Desde ESET se han detectado muestras conocidas intentando explotar la vulnerabilidad, y es detectada por los productos de ESET como DOC/TrojanDownloader.Agent.DIC y DOC/TrojanDownloader.Agent.DHY.
Otras vulnerabilidades importantes corregidas en la actualización de septiembre
La CVE-2021-38647 es la vulnerabilidad más crítica de las reparadas en este paquete. Con un puntaje de 9.8 en la escala de severidad, se trata de un fallo de ejecución remota de código (RCE) que no requiere autenticación y que afecta al programa Open Management Infrastructure (OMI).
Otras dos vulnerabilidades importantes que fueron reparadas son la CVE-2021-26435 y la CVE-2021-36967. La primera es una vulnerabilidad de corrupción de memoria en el motor de scripting de Windows que tiene un puntaje de 8.1 en la escala CVSS, aunque para desencadenar el fallo es necesario interacción por parte del usuario. En el caso de la CVE-2021-36967, se trata de una vulnerabilidad de escalación de privilegios en el servicio Windows WLAN AutoConfig que recibió un puntaje de 8.0.
Para más información, consulte el detalle de la actualización de septiembre de Microsoft.