En el resumen de seguridad de esta semana, hablaremos de varios problemas y vulnerabilidades descubiertos en proyectos de código abierto y en Windows.
Kernel Linux use-after-free en el subsistema netfilter
Se ha identificado una vulnerabilidad de escritura "use-after-free" en el subsistema netfilter del kernel de Linux. La activación de este problema requiere el privilegio de crear espacios de nombres de usuario/red en el sistema, y esta vulnerabilidad puede ser explotada para lograr la escalada de privilegios a root en los sistemas afectados.
Esta debilidad está relacionada con el hecho de que no se elimine una expresión de la lista de enlaces de un conjunto antes de destruir la expresión. Se ha descubierto que esto afecta a múltiples expresiones, pero como mínimo a las expresiones "lookup" y "dynset".
Esta acción crea un estado en el que cualquier uso posterior de la lista de enlaces establecida terminará escribiendo una dirección de puntero de enlace en un objeto slab que ya ha sido liberado y posiblemente reasignado. Para obtener más detalles sobre esta vulnerabilidad, puede consultar la revelación original del investigador. El parche para mitigar la vulnerabilidad fue enviado el 26 de mayo de 2022.
Ataque a la cadena de suministro de software utilizando "ctx" y "phpass"
Se han descubierto dos paquetes maliciosos de Python y PHP que llevan a cabo un ataque a la cadena de suministro de software dirigido al ecosistema de código abierto. Uno de los paquetes es "ctx", un módulo de Python disponible en el repositorio PyPi. El otro es "phpass", un paquete PHP que ha sido bifurcado en GitHub para distribuir una actualización falsa.
Se introdujo una actualización maliciosa en "ctx" el 21 de mayo de 2022. Ambos paquetes carecen de mantenimiento y la última actualización legítima para "ctx" se publicó el 19 de diciembre de 2014 y en el caso de "phpass", el 31 de agosto de 2012. En su esencia, las modificaciones están diseñadas para exfiltrar credenciales de AWS a una URL de Heroku y parece que el perpetrador está tratando de obtener todas las variables de entorno, codificarlas en Base64 y reenviar los datos a una aplicación web bajo el control del perpetrador.
El individuo responsable fue capaz de secuestrar la cuenta PyPi abandonada del mantenedor comprando su dominio caducado y enviándose a sí mismo un enlace de restablecimiento de contraseña.
Follina - Vulnerabilidad RCE en Microsoft Support Diagnostic Tool (MSDT) en Windows
Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT utilizando el protocolo URL desde una aplicación de llamada como Word. Este documento malicioso utiliza la función de plantilla remota de Word para recuperar un archivo HTML de un servidor web remoto, que a su vez utiliza el esquema de URI de MSProtocolo ms-msdt para cargar algún código y ejecutar algún PowerShell. CVE-2022-30190 un día cero que permite la ejecución de código en los productos de Office.
Un atacante que explote con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que llama. El atacante puede entonces instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
Microsoft afirma que el fallo afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+). Según el fabricante, los administradores y los usuarios pueden bloquear los ataques que explotan CVE-2022-30190 deshabilitando el protocolo de URL MSDT, que los actores maliciosos utilizan para lanzar los solucionadores de problemas y ejecutar código en los sistemas vulnerables. Consulte la guía de seguridad de Microsoft para desactivar el protocolo MSDT URL en un dispositivo Windows. Después de que Microsoft publique un parche, puede deshacer la solución y aplicar los parches recomendados.
Comentarios