Categoría: Actualidad

Como cada segundo martes del mes Microsoft lanzó el conjunto de actualizaciones de seguridad correspondientes al mes de mayo. La publicación de actualizaciones consta de 55 vulnerabilidades, clasificadas 4 como críticas, 50 como importantes y 1 como moderada. Tras analizar las vulnerabilidades, una de las más destacadas, está relacionada con la pila del protocolo HTTP (http.sys), que permitiría realizar una denegación del servicio o bien la ejecución de código en el servidor afectado.

Análisis

Microsoft informó y remedió una vulnerabilidad crítica con identificador CVE-2021-31166 (1) existente en la implementación de la pila del protocolo HTTP (http.sys). Con una puntuación CVSS de 9.8, la vulnerabilidad anunciada tiene el potencial de tener un impacto directo y también es excepcionalmente fácil de explotar, lo que lleva a una denegación de servicio remota y sin necesidad de autenticación sobre los productos afectados. Además, ya existen pruebas de explotación (POC) sobre la misma (2).

El problema se debe a que Windows realiza un seguimiento incorrecto de los punteros mientras procesa objetos en paquetes de red que contienen solicitudes HTTP. Como HTTP.SYS se implementa como un controlador del kernel, la explotación de este error dará como resultado al menos una pantalla azul (BSoD) y, en el peor de los casos, la ejecución remota de código. Incluso se menciona en el reporte de la compañía que el problema de seguridad podría usarse para crear gusanos de red que salten de un servidor a otro y por lo tanto recomiendan priorizar el parcheo de los servidores afectados.

Productos afectados

• • Windows Server, versión 20H2
  •  Windows Server, versión 2004
  •  Windows 10, versión 20H2
  •  Windows 10, versión 2004

No obstante, en el boletín de seguridad se reflejan más vulnerabilidades. Por lo tanto se recomienda seguir con los ciclos de actualización de Windows en equipos cliente y servidores aplicando las actualizaciones de seguridad para los mismos. Toda la información de las vulnerabilidades corregidas de este mes las pueden encontrar en los siguientes enlaces:

• • https://isc.sans.edu/forums/diary/Microsoft+May+2021+Patch+Tuesday/27408
  • https://www.zerodayinitiative.com/blog/2021/5/11/the-may-2021-security-update-review

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Microsoft sobre los productos afectados a la mayor brevedad posible sobre los productos afectados.

Referencias

(1) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
(2) https://github.com/0vercl0k/CVE-2021-31166
(3) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-mayo-2021

Cada 17 de mayo, desde el año 2005, se celebra el “Día de Internet”.

El objetivo de este día es el de compartir lo que cada uno hace por acercar la Sociedad de la Información (SI) a todos los ciudadanos puesto que, cada vez se hace un uso más intensivo de las Tecnologías de la Información y la Comunicación (TIC).

Desde CSIRT-CV queremos participar de este día tan especial, recordando la importancia de hacer un uso seguro y responsable de Internet, para lo cual os ofrecemos multitud de contenidos en nuestro portal de concienciación (concienciaT), donde podréis encontrar muchos consejos en formato post, campañas que se han ido publicando en nuestras RRSS e incluso a través de infografías, que se pueden descargar e imprimir para tenerlas siempre visibles y a mano para su consulta.

Además, tenéis la posibilidad de descargar nuestras guías enfocadas a mejorar en diferentes temas de seguridad y os animamos a realizar nuestros cursos online gratuitos desde la plataforma de e-Formación SAPS.

Visita el siguiente vídeo donde se recogen todos los recursos que CSIRT-CV te ofrece en su web de concienciación.

A día 13 de mayo de 2021, WordPress ha lanzado una nueva actualización en la que corrigen un fallo de seguridad asociado a dos vulnerabilidades, una de ellas crítica y otra alta. La explotación de las mismas permitirían la inyección de objetos en PHPMailer.

Análisis

Las vulnerabilidades han obtenido el identificador CVE-2020-36326 (1) y CVE-2018-19296 (2) .

A destacar el primer identificador que corresponde con la vulnerabilidad crítica con una calificación (CVSS) de 9.8, esta permitiría la inyección de objetos a través de ‘Phar Deserialization’ mediante ‘addAttachment’ con una ruta UNC.

La segunda vulnerabilidad es similar a la primera y de su corrección derivó el problema actual pues se eliminó el código que bloqueaba la explotación de ‘addAttachment’.

Productos afectados

• • WordPress, versiones entre 3.7 y 5.7.

Recomendaciones

Actualizar WordPress a la versión 5.7.2 (3)

Referencias

(1) https://nvd.nist.gov/vuln/detail/CVE-2020-36326
(2) https://nvd.nist.gov/vuln/detail/CVE-2018-19296
(3) https://wordpress.org/download/releases/
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-572-wordpress

CSIRT-CV publica su resumen anual sobre la actividad, ciberamenazas y tendencias en ciberseguridad más destacadas llevadas a cabo.

El informe se centra en los servicios más importantes, como la gestión de incidentes, campañas de concienciación realizadas para los ciudadanos, los cursos y formación online, las jornadas de ciberseguridad impartidas en los centros de secundaria, análisis de riesgos, etc.

Todas las gestiones realizadas tienen un punto en común; la pandemia por COVID-19.

La información en la que se basa el informe corresponde a todo el año 2020. Pueden consultar dicho informe en el siguiente enlace.