Microsoft ha publicado actualizaciones por sus productos: en total, este mes la empresa arregló 74 insectos (81 si incluir vulnerabilidades en Microsoft Edge), tres de los cuales están clasificados como críticos, cuatro tienen el estado de vulnerabilidades de día cero, y los piratas informáticos ya han adoptado un problema.
De las cuatro vulnerabilidades de día 0 atacadas, Ya había un problema de escalada de privilegios relacionado con el funcionamiento del controlador del kernel Win32k.. El problema fue identificado como CVE-2021-40449 (7.8 en la escala CVSS) y fue descubierto por especialistas de Kaspersky Lab.
en un reporte detallado, Los expertos dijeron que la vulnerabilidad pertenece a la clase use-after-free y se encontró en la función NtGdiResetDC del controlador Win32k.. Filtra las direcciones de los módulos del kernel en la memoria de la computadora., y como un resultado, los atacantes lo usan para elevar los privilegios de otro proceso malicioso.
Según los informes, los piratas informáticos chinos abusaron del error y descargaron e iniciaron RAT MysterySnail con él.. Se informa que MysterySnail se utiliza con mayor frecuencia en operaciones de espionaje contra empresas de TI., Organizaciones diplomáticas y empresas que trabajan para la industria de defensa..
Los expertos lograron encontrar una serie de similitudes en el código y las funciones de MysterySnail y el malware utilizado por el conocido grupo IronHusky.. También, algunos c&Las direcciones C ya se utilizaban en 2012 en ataques de un grupo APT que utiliza el idioma chino.
Además, Se implementaron funciones bastante interesantes en el troyano.. Así que, El troyano no sólo sabe ver la lista de unidades conectadas, pero también puede monitorear la conexión de unidades externas en segundo plano. Además, el troyano puede iniciar el shell interactivo cmd.exe, habiendo copiado previamente el archivo cmd.exe en una carpeta temporal con un nombre diferente.el laboratorio Kaspersky dijo.
La hazaña para CVE-2021-40449 soporta varios sistemas operativos de la familia Microsoft Windows: Vista, 7, 8, 8.1, Servidor 2008, Servidor 2008 R2, Servidor 2012, Servidor 2012 R2, Windows 10 (build 14393), Servidor 2016 (build 14393 ), 10 (build 17763), y servidor 2019 (build 17763). Pero, según los expertos, fue escrito específicamente para elevar los privilegios en las versiones de servidor del sistema operativo.
También, como se ha mencionado más arriba, Este mes Microsoft solucionó otras tres vulnerabilidades divulgadas públicamente., cual, sin embargo, no fueron utilizados en ataques de piratas informáticos:
- CVE-2021-40469 (cvss 7,2) – vulnerabilidad en el servidor DNS de Windows, conduciendo a la ejecución remota de código;
- CVE-2021-41335 (cvss 7.8) – Vulnerabilidad de escalada de privilegios del kernel de Windows;
- CVE-2021-41338 (cvss 5.5) – Una vulnerabilidad de derivación en las reglas de Windows AppContainer Firewall.
Déjame recordarte que también informé que La nueva característica en Exchange Server aplicará correcciones automáticamente.