Análisis del Patch Tuesday de julio y las recomendaciones de Ivanti para priorizar la remediación de vulnerabilidades (CVE). Patch Tuesday en julio de 2021 lo tiene todo.
Con la reciente actualización fuera de banda de PrintNightmare, la próxima CPU trimestral de Oracle, un conjunto de actualizaciones de Adobe que incluye Acrobat y Reader, Mozilla Firefox y Firefox ESR, y el conjunto típico de actualizaciones mensuales de Microsoft, Patch Tuesday incluye en julio mucha seguridad. vulnerabilidades que deben abordarse con carácter prioritario.
Impresión de vulnerabilidadPesadilla
Comienza con PrintNightmare CVE-2021-34527, que se identificó como otra vulnerabilidad en el administrador de trabajos de impresión después de la actualización del martes de parches de junio. Microsoft se ha apresurado a lanzar actualizaciones de seguridad fuera de banda para la mayoría de los sistemas operativos. Las actualizaciones están disponibles para Windows 7 y Server 2008/2008 R2 siempre que los usuarios tengan una suscripción a Extended Security Update (ESU). La empresa también proporcionó un artículo de soporte que explica cómo funcionan las actualizaciones y ofrece algunas opciones de configuración adicionales. Las organizaciones que aún no han instalado la actualización fuera de banda pueden simplemente actualizar las actualizaciones del sistema operativo de julio para corregir las tres nuevas vulnerabilidades de día cero junto con este CVE.
Microsoft: más de 100 CVE
Microsoft también corrigió 117 CVE individuales en julio, 10 de los cuales fueron calificados como críticos. Entre ellos se encuentran tres vulnerabilidades de día cero y cinco divulgaciones públicas. Un poco de buenas noticias: los tres días cero y tres de las cinco vulnerabilidades divulgadas públicamente se solucionarán con el lanzamiento de las actualizaciones del sistema operativo de julio. Las actualizaciones de este mes afectan a los sistemas operativos Windows, Office 365, Sharepoint, Visual Studio y una serie de módulos y componentes (consulte las notas de la versión para obtener más detalles).
Priorización basada en riesgos
Al observar las vulnerabilidades reparadas por los proveedores, la evaluación debe considerar más que solo la gravedad y el puntaje CVSS. Si los equipos de seguridad de TI no tienen métricas adicionales para determinar el riesgo, es muy probable que se estén perdiendo algunas de las actualizaciones más importantes. Un buen ejemplo de cómo los algoritmos de los proveedores utilizados para definir la gravedad pueden dar una falsa sensación de seguridad se puede encontrar en la lista de día cero de este mes. Microsoft considera que dos de los CVE solo son importantes, aunque se explotaron activamente antes del lanzamiento de la actualización. El puntaje CVSSv3 para el CVE crítico es incluso más bajo que para los dos CVE importantes. Según analistas como Gartner, adoptar un enfoque basado en el riesgo para la gestión de vulnerabilidades puede reducir la cantidad de filtraciones de datos hasta en un 80 % por año (Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019).
Vulnerabilidades de día cero
CVE-2021-31979 es una vulnerabilidad de elevación de privilegios en el kernel de Windows. Esta vulnerabilidad se descubrió durante ataques "in the wild". La gravedad de Microsoft para este CVE se considera importante y la puntuación CVSSv3 es 7,8. La vulnerabilidad afecta a Windows 7, Server 2008 y versiones posteriores del sistema operativo Windows.
En CVE-2021-33771 Esta es una vulnerabilidad de elevación de privilegios en el kernel de Windows. Esta vulnerabilidad también se descubrió en ataques reales. La gravedad de Microsoft para este CVE se considera importante y la puntuación CVSSv3 es 7,8. La vulnerabilidad afecta a Windows 8.1, Server 2012 R2 y versiones posteriores del sistema operativo Windows.
CVE-2021-34448 es una vulnerabilidad de corrupción de memoria en el motor de secuencias de comandos de Windows que podría permitir a un atacante ejecutar código de forma remota en el sistema afectado.
Escenario de ataque de día cero
En un escenario de ataque basado en web, un atacante podría hospedar un sitio web que contenga un archivo especialmente diseñado para aprovechar la vulnerabilidad. Lo mismo se aplica a un sitio web comprometido que acepta o aloja contenido proporcionado por el usuario. Sin embargo, un atacante no tendría forma de obligar al usuario a visitar el sitio web. En cambio, un atacante tendría que engañar voluntariamente al usuario para que haga clic en un enlace. Esto generalmente se hace a través de un correo electrónico o un mensaje de mensajería instantánea. El objetivo es entonces convencer al usuario para que abra el archivo.
La gravedad de Microsoft para este CVE se clasifica como Crítica y la puntuación CVSSv3 es 6,8. La vulnerabilidad afecta a Windows 7, Server 2008 y versiones más recientes del sistema operativo Windows.
Anunciado públicamente
CVE-2021-33781 tiene como objetivo eludir las funciones de seguridad en el servicio de Active Directory. Esta vulnerabilidad ha sido divulgada públicamente. La gravedad de Microsoft para este CVE se considera importante y la puntuación CVSSv3 es 8.1. La vulnerabilidad afecta a Windows 10, Server 2019 y versiones posteriores del sistema operativo Windows.
CVE-2021-33779 es una omisión de la función de seguridad en Windows ADFS Security. Esta vulnerabilidad ha sido divulgada públicamente. La gravedad de Microsoft para este CVE se considera importante y la puntuación CVSSv3 es 8.1. La vulnerabilidad afecta las versiones de servidor 2016, 2019, 2004, 20H2 y Core Windows Server.
En CVE-2021-34492 es una vulnerabilidad de falsificación de certificados en el sistema operativo Windows. Esta vulnerabilidad también ha sido divulgada públicamente. La gravedad de Microsoft para este CVE se clasifica como importante. La puntuación CVSSv3 es 8.1 y afecta a Windows 7, Server 2008 y versiones posteriores del sistema operativo Windows.
CVE-2021-34473 es una vulnerabilidad de ejecución remota de código en Microsoft Exchange Server y se ha divulgado públicamente. Microsoft clasifica este CVE como crítico y la puntuación CVSSv3 es 9,0. La vulnerabilidad afecta a Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 es una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server. Esta vulnerabilidad se ha divulgado públicamente y tiene una clasificación de gravedad de Importante. La puntuación CVSSv3 es 9.1. Afecta a Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Actualizaciones de terceros
Oracle lanzará su actualización de parche crítico trimestral o CPU el 20 de julio. Incluirá actualizaciones para Oracle Java SE, MySQL, Fusion Middleware y muchos otros productos de Oracle. La CPU contendrá todas las correcciones de seguridad y detalles sobre CVSSv3.1. Esto incluye la complejidad del ataque y responde a la pregunta de si la vulnerabilidad se puede explotar de forma remota. Se agregan detalles para comprender la urgencia de las actualizaciones.
adobe ha lanzado actualizaciones para cinco productos como parte del martes de parches de julio. Las actualizaciones de Adobe Bridge, Dimension, Illustrator y Framemaker tienen una prioridad 3 de Adobe. Cada uno corrige al menos un CVE crítico.
Muchas actualizaciones de Adobe para Acrobat y Reader
Al clasificar, Adobe tiene en cuenta tanto la gravedad de la vulnerabilidad como la probabilidad de que un atacante se concentre en el producto. Adobe Priority 1 significa que al menos un CVE incluido en la versión ya se está explotando activamente. La prioridad 3 significa que es menos probable que el producto sea atacado y que hay pocas vulnerabilidades explotadas.
Si bien las cuatro actualizaciones de productos no son urgentes, deben solucionarse en un plazo razonable. Más importante este mes es la actualización de Adobe Acrobat y Reader (APSB21-51), que corrige 19 CVE, 14 de los cuales se consideran críticos. La relevancia establecida por Adobe para esta actualización es Prioridad 2. Tres de los CVE críticos fueron calificados con un CVSSv3 de 8.8. Podría permitir la ejecución remota de código. Todavía no se sabe si alguno de los CVE ha sido explotado. Sin embargo, Acrobat y Reader están ampliamente implementados en sistemas y son de interés para los actores de amenazas en sí mismos.
Mozilla ha lanzado actualizaciones para Firefox y Firefox ESR que incluyen correcciones para 9 CVE. La Fundación califica cinco de los CVE como de “alto impacto”. Los equipos de seguridad de TI pueden encontrar más detalles en MFSA2021-28.
Recomendaciones de Ivanti para la priorización
La máxima prioridad este mes es la actualización del sistema operativo Windows. Se corrigen otras tres vulnerabilidades de día cero. Para las empresas que aún no han instalado la corrección fuera de banda de PrintNightmare, serían cuatro vulnerabilidades de día cero junto con tres vulnerabilidades divulgadas públicamente.
Microsoft Exchange tiene dos vulnerabilidades conocidas públicamente, además de CVE-2021-31206, que se conoció hace unos meses como parte de la competencia Pwn2Own. Entonces, si bien Exchange ha tenido un breve respiro después de muchas actualizaciones en los últimos meses, esta vulnerabilidad debe analizarse y corregirse lo antes posible.
Las actualizaciones de terceros para Adobe Acrobat y Reader, y Mozilla Firefox deben tener alta prioridad. Las aplicaciones PDF y de navegador son objetivos fáciles para los atacantes que explotan a un usuario con ataques de phishing y otros métodos centrados en el usuario.
Más en Ivanti.com
Sobre Ivanti La fuerza de la TI unificada. Ivanti conecta la TI con las operaciones de seguridad empresarial para gobernar y proteger mejor el lugar de trabajo digital. Identificamos activos de TI en PC, dispositivos móviles, infraestructuras virtualizadas o en el centro de datos, independientemente de si se encuentran en las instalaciones o en la nube. Ivanti mejora la prestación de servicios de TI y reduce el riesgo comercial a través de la experiencia y los procesos automatizados. Mediante el uso de tecnologías modernas en el almacén y en toda la cadena de suministro, Ivanti ayuda a las empresas a mejorar su capacidad de entrega, sin cambiar los sistemas internos.