Microsoft lanza Patch Tuesday para corregir 121 vulnerabilidades

microsoft lanzó su parche el martes para agosto de 2022 para corregir 121 fallas de seguridad que se han encontrado en sus productos, que incluyen cosas como Exchange Server, así como los clásicos Windows y Office.

Desde 121 vulnerabilidades de seguridad corregidas, 17 marcadas como críticas, 102 importantes, 1 de riesgo moderado y 1 de bajo riesgo. De todos ellos, solo dos eran conocidos por el público en el momento del lanzamiento del parche. Es importante tener en cuenta que Microsoft Edge, el navegador web basado en Chromium, está en una liga diferente, ya que tuvo 25 correcciones de errores separadas entre fines de julio y fines de la semana pasada.

El gigante de Redmond, de todo parcheado, destacó una vulnerabilidad que abrió la puerta a la ejecución remota de código a través de Microsoft Performance and Resource Monitor (MSDT), una herramienta de Windows que genera un informe sobre el estado de los recursos de hardware locales, los tiempos de respuesta del sistema y los procesos informáticos locales, así como la información del sistema y los datos de configuración. La explotación de la vulnerabilidad requería que el usuario abriera un archivo especialmente creado, por lo que se introducen técnicas como el phishing y el engaño mediante la descarga de un archivo alojado en un sitio web malicioso o por correo electrónico.

La ejecución remota de código encontrada en MSDT, identificada como CVE-2022-34713, no es la única vulnerabilidad encontrada en la herramienta, ya que Microsoft parcheó otra del mismo tipo identificada como CVE-2022-35743.

Siguiendo con las ejecuciones remotas, encontramos parches para este tipo de vulnerabilidad aplicados a Windows Point-to-Point Protocol (PPP), Windows Secure Sockets Tunneling Protocol (SSTP), Azure RTOS GUIX Studio, Microsoft Office y el hipervisor Hyper-V incluido en el sistema operativo Windows.

Otro tipo de vulnerabilidad con protagonismo son las escaladas de privilegios. Tres de estas vulnerabilidades se encontraron en Exchange Server (CVE-2022-21980, CVE-2022-24477 y CVE-2022-24516) que, cuando se explotan, podrían usarse para leer mensajes de correo electrónico específicos y descargar los archivos adjuntos que contienen. Por otro lado, se parcheó una falla de seguridad conocida públicamente (CVE-2022-30134) en el mismo componente, lo que abrió la puerta a la posibilidad de hacer lo mismo.

El parche del martes es responsable de corregir docenas de vulnerabilidades de seguridad que consisten en elevaciones de privilegios, 31 de las cuales se encontraron en Azure Site Recovery. Esto se suma a lo que hizo la compañía hace un mes, cuando parchó treinta fallas similares en el servicio de continuidad comercial, cinco en Storage Spaces Direct, tres en el propio kernel de Windows y dos en el módulo Print Spooler.

El lanzamiento de este tipo de parches para corregir una gran cantidad de vulnerabilidades en lotes es común entre las soluciones de software que crecen hasta cierto tamaño. También existen, aunque posiblemente publicados en otros formatos y con otras frecuencias de cuadro, para distribuciones Linux, Android, soluciones Adobe, productos Intel, etc.