Microsoft ha corregido 32 vulnerabilidades en la suite Azure Site Recovery que podrían haber permitido a los atacantes obtener privilegios elevados o realizar la ejecución remota de código.
El servicio Azure Site Recovery es un servicio de recuperación ante desastres que automáticamente conmutará por error las cargas de trabajo a ubicaciones secundarias cuando se detecte un problema.
Como parte del martes de parches de julio de 2022 , Microsoft corrigió 84 fallas, y la vulnerabilidad de Azure Site Recovery representó más de un tercio de las fallas corregidas hoy.
De las treinta y dos vulnerabilidades corregidas en Azure Site Recovery, dos permiten la ejecución remota de código y la enorme treintena de vulnerabilidades permiten la elevación de privilegios.
En un aviso publicado hoy, Microsoft afirma que las vulnerabilidades de inyección SQL causaron la mayoría de los errores de escalada de privilegios.
Sin embargo, Microsoft también destacó una vulnerabilidad CVE-2022-33675 causada por una vulnerabilidad de secuestro de DLL descubierta por Tenable.
Una falla de secuestro de DLL
La falla de secuestro de DLL se rastrea como CVE-2022-33675 y tiene una clasificación de gravedad CVSS v3 de 7.8. Fue descubierto por investigadores de Tenable, quienes se lo revelaron a Microsoft el 8 de abril de 2022 .
Los ataques de secuestro de DLL aprovechan las vulnerabilidades causadas por permisos inseguros en carpetas que un sistema operativo Windows busca y carga las DLL requeridas cuando se inicia una aplicación.
Para realizar el ataque, un actor de amenazas puede crear una DLL maliciosa personalizada con el mismo nombre que una DLL normal cargada por la aplicación Azure Site Recovery. Esta DLL maliciosa luego se almacena en una carpeta que busca Windows, lo que hace que se cargue y ejecute cuando se inicia la aplicación.
Según Tenable, el servicio «cxprocessserver» de ASR se ejecuta con privilegios de nivel de SISTEMA de forma predeterminada, y su ejecutable se encuentra en un directorio que se ha configurado incorrectamente para permitir permisos de «escritura» a cualquier usuario.
Esto hace posible que los usuarios normales planten archivos DLL maliciosos (ktmw32.dll) en el directorio. Ahora, cuando se inicie el proceso ‘cxprocessserver’, cargará la DLL maliciosa y ejecutará cualquiera de sus comandos con privilegios de SISTEMA.
«El secuestro de DLL es una técnica bastante anticuada con la que no nos encontramos a menudo en estos días. Cuando lo hacemos, el impacto suele ser bastante limitado debido a la falta de cruce de los límites de seguridad», explica James Sebree de Tenable en un artículo sobre el error . .
«En este caso, sin embargo, pudimos cruzar un límite de seguridad claro y demostramos la capacidad de escalar a un usuario a los permisos de nivel de SISTEMA, lo que muestra la tendencia creciente de técnicas incluso anticuadas que encuentran un nuevo hogar en el espacio de la nube debido a complejidades añadidas. en este tipo de ambientes».
Implicaciones potenciales
Al adquirir privilegios de nivel de administrador en un sistema de destino, un atacante podría cambiar la configuración de seguridad del sistema operativo, realizar cambios en las cuentas de usuario, acceder a todos los archivos del sistema sin restricciones e instalar software adicional.
Teniendo en cuenta el uso generalizado de ASR en entornos corporativos que dependen de aplicaciones y servicios en la nube ininterrumpidos, podría servir como un punto débil crucial en las intrusiones en la red.
Tenable destaca el escenario de ataques de ransomware donde los actores de amenazas podrían aprovechar CVE-2022-33675 para borrar las copias de seguridad y hacer imposible la restauración de datos gratuita. Sin embargo, este es sólo uno de los muchos ejemplos.
Microsoft también ha publicado un aviso para brindar una descripción general de todos los problemas solucionados en ASR este mes, mencionando la inyección SQL y la ejecución remota de código en la sección de impacto.
Para estos ataques, se requieren credenciales administrativas en las máquinas virtuales; por lo tanto, CVE-2022-33675 no se puede usar como embudo para ampliar el alcance del impacto, pero podría ayudar a sentar las bases para adquirir esas credenciales en el objetivo.
Para abordar todos los problemas de seguridad, asegúrese de aplicar las actualizaciones de este mes. Quienes no puedan aplicar los parches podrían mitigar el riesgo cambiando manualmente la configuración del permiso de escritura en el directorio afectado.
Fuente: https://www.bleepingcomputer.com