NESABAMEDIA.COM – Microsoft ha solucionado 32 vulnerabilidades en Azure Site Recovery que permiten a los piratas informáticos obtener acceso privilegiado o ejecutar código malicioso de forma remota.
El servicio Azure Site Recovery es un servicio de recuperación ante desastres que moverá automáticamente las cargas de trabajo a una ubicación secundaria cuando se detecte un problema.
Como parte de sus actualizaciones del martes de parches de julio de 2022, Microsoft solucionó 84 vulnerabilidades, y Azure Site Recovery representó ⅓ de los errores corregidos. De las 32 vulnerabilidades que se solucionaron, dos permitían la ejecución remota de código y otras 30 eran vulnerabilidades que permitían la escalada de privilegios.
En una nota publicada, microsoft afirma que las vulnerabilidades de inyección SQL causan la mayoría de los errores de escalada de privilegios. Sin embargo, Microsoft también ha destacado la vulnerabilidad CVE-2022-33675, causada por la vulnerabilidad de secuestro de DLL descubierta previamente por Tenable.
Vulnerabilidad de secuestro de DLL
Esta vulnerabilidad de secuestro de DLL se rastrea como CVE-2022-33675 y tiene una clasificación de gravedad CVSS V3 de 7,8. Fue descubierto por primera vez por investigadores de Tenable, quienes luego enviaron sus hallazgos a Microsoft el 8 de abril de 2022.
El ataque DLL Hijacking explota una vulnerabilidad causada por permisos inseguros en una carpeta que el sistema operativo Windows busca y carga las DLL necesarias cuando se inicia la aplicación.
Para llevar a cabo un ataque, un atacante puede crear una DLL personalizada maliciosa con el mismo nombre que una DLL normal, que carga la aplicación Azure Site Recovery. Esta DLL maliciosa luego se almacena en la carpeta que Windows está buscando, lo que hace que se cargue y ejecute cuando se inicia la aplicación.
Según Tenable, el servicio denominado cxprocessserver de ASR se ejecuta con privilegios de SISTEMA de forma predeterminada y su ejecutable reside en un directorio que ha sido configurado incorrectamente para permitir otorgar permisos a cualquier persona.
Esto permite a los usuarios normales incrustar archivos DLL maliciosos, como ktmw32.dll, en esos directorios. Ahora, cuando se inicie el proceso cxprocessserver, cargará archivos DLL maliciosos y ejecutará cualquier comando con privilegios de SISTEMA.
