En este blog, voy a hablar sobre la vulnerabilidad conocida como CVE-2022-38023, que afecta a varios sistemas operativos y aplicaciones web. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el servidor remoto, lo que puede comprometer la seguridad y la privacidad de los datos.


security vulnerability


 

Explicaré cómo funciona esta vulnerabilidad, cómo detectarla y cómo protegerse de ella. También compartiré algunos ejemplos de ataques reales que han explotado esta vulnerabilidad y las consecuencias que han tenido. Espero que este blog sea de utilidad para los profesionales de la seguridad informática y para los usuarios interesados en el tema.

 

 

¿Qué es el cve-2022-38023?

 

Esta vulnerabilidad crítica, afecta a varios sistemas operativos y aplicaciones web. Se trata de un fallo en la validación de entradas que permite la ejecución remota de código arbitrario por parte de un atacante. Esto significa que un atacante podría tomar el control de un servidor o un dispositivo comprometido y acceder a datos sensibles, instalar malware o realizar otras acciones maliciosas.

 

La vulnerabilidad fue descubierta por el equipo de seguridad de Microsoft y reportada el 15 de junio de 2023. Microsoft publicó un boletín de seguridad con los detalles técnicos y las soluciones disponibles para los productos afectados, que incluyen Windows, Office, SharePoint, Exchange y Azure. Se recomienda a los usuarios y administradores que actualicen sus sistemas lo antes posible para evitar posibles ataques.

 

 

 

¿Cómo funciona el cve-2022-38023?

 

Para explotar el cve-2022-38023, un atacante necesita enviar una entrada XML malformada a una aplicación o un sistema vulnerable. Esta entrada puede ser enviada por diferentes vías, como un correo electrónico, una solicitud web o un archivo adjunto. La entrada debe contener una definición de tipo de documento (DTD) que declare una entidad externa con una referencia a un recurso malicioso.

 

Esta vulnerabilidad afecta a los controladores de dominio (DCs) de Windows Server que usan el protocolo Netlogon para mantener la relación entre un dispositivo y su dominio. Según Microsoft, las versiones de Windows Server afectadas por esta vulnerabilidad son:

 

  • Windows Server 2008 SP2 ESU
  • Windows Server 2008 R2 SP1 ESU
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Los sistemas Windows Server 2003 y anteriores, deben ser migrados a una versión que tenga soporte por parte de Microsoft, debido a que estos sistemas no reciben ningún tipo de parches de seguridad.


Según Microsoft, las versiones de Windows cliente afectadas por esta vulnerabilidad son:

  • Windows 7 ESU
  • Windows 8/8.1
  • Windows 10
  • Windows 11

Los sistemas Windows Vista y anteriores, deben ser migrados a una versión que tenga soporte por parte de Microsoft, debido a que estos sistemas no reciben ningún tipo de parches de seguridad.



¿Como proteger los sistemas windows de esta vulnerabilidad?


Para proteger los dispositivos Windows de esta vulnerabilidad, se recomienda instalar las actualizaciones de seguridad de Windows que se publicaron el 8 de noviembre de 2022 o posteriores. Estas actualizaciones habilitan por defecto un modo de protección que bloquea las conexiones vulnerables desde dispositivos no compatibles. También se puede configurar una clave del registro para activar un modo de compatibilidad que permite las conexiones vulnerables desde clientes y controladores de dominio de terceros.

 

Si utiliza Windows Server 2008 o Windows Server 2008 R2, es posible que le interese saber que Microsoft aún ofrece actualizaciones de seguridad extendidas (ESU) para este sistema operativo. Esto significa que podrá seguir recibiendo parches de seguridad críticos y actualizaciones importantes para proteger su servidor de posibles amenazas y vulnerabilidades. Para obtener las ESU, debe cumplir con algunos requisitos previos y adquirir una licencia anual por dispositivo. Puede encontrar más información sobre las ESU y cómo solicitarlas en el sitio web de Microsoft.

 

El período de tiempo que se proporcionarán las actualizaciones de seguridad extendidas depende de la versión de Windows Server y de dónde se hospede:

 

Versión del Producto

Hospedado

Duración de ESU

Fecha finalización de ESU

Windows Server 2008

Windows Server 2008 R2

Azure

Cuatro años

 

Enero 9, 2024

Windows Server 2008

Windows Server 2008 R2

No en Azure

Tres años

Enero 10, 2023

 

 

¿Cómo detectar sistemas vulnerables?

 

Los eventos de Windows que sirven para detectar sistemas vulnerables firma RPC son aquellos que registran las conexiones de canal seguro de Netlogon entre los dispositivos y los controladores de dominio de Active Directory.

 

Estas conexiones pueden ser vulnerables si los dispositivos usan una versión antigua o no compatible del protocolo remoto de Netlogon (MS-NRPC), que es una interfaz RPC que permite la autenticación y el establecimiento de un canal seguro de Netlogon.

 

Algunos ejemplos de eventos de Windows que indican conexiones vulnerables son:

 

 

·      Evento 5838 (Sistema)

o   Tipo de evento: Error

o   Origen del evento: NETLOGON

o   Texto del evento: El servicio Netlogon encontró un cliente que usaba la firma RPC en lugar del sellado RPC.

o   Posible causa:

§  Confirme que el dispositivo ejecuta una versión compatible de Windows.

§  Compruebe que todos los dispositivos estén actualizados.

§  Asegúrese de que el miembro del dominio: Miembro del dominio Cifrar o firmar digitalmente los datos del canal seguro (siempre) esté establecido en Habilitado


·      Evento 5839 (Sistema):

o   Tipo de evento: Error

o   Origen del evento: NETLOGON

o   Texto del evento: El servicio Netlogon encontró una confianza mediante la firma RPC en lugar del sellado RPC.

 

·      Evento 5840 (Sistema):

o   Tipo de evento: Advertencia

o   Origen del evento: NETLOGON

o   Texto del evento: El servicio Netlogon denegó un cliente mediante RC4 debido a la configuración "RejectMd5Clients".

o   Posible causa: Si encuentra el evento 5840, se trata de un signo de que un cliente de su dominio usa criptografía débil.

·      Evento 5841 (Sistema):

o   Tipo de evento: Error

o   Origen del evento: NETLOGON

o   Texto del evento: El servicio Netlogon encontró una confianza mediante la firma RPC en lugar del sellado RPC.

o   Posible causa: Si encuentra el evento 5841, se trata de un signo de que el valor RejectMD5Clients está establecido en VERDADERO. La clave RejectMD5Clients es una clave preexistente en el servicio Netlogon. Para obtener más información, vea la descripción rejectMD5Clients del modelo de datos abstracto.

 

 

Todas las cuentas de equipo unidas a un dominio se ven afectadas por este CVE. Los eventos mostrarán quiénes son los más afectados por este problema después de que se instalen las actualizaciones de Windows del 8 de noviembre de 2022 o posteriores, revise la sección de errores del registro de eventos para solucionar los problemas.


En conclusión, la vulnerabilidad CVE-2022-38023 es un problema grave que afecta a muchos sistemas operativos y aplicaciones web. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el servidor remoto, lo que puede comprometer la seguridad y la privacidad de los datos. Por eso, es importante que los administradores y desarrolladores actualicen sus sistemas y aplicaciones lo antes posible, siguiendo las recomendaciones de los proveedores y las buenas prácticas de seguridad. Así, se podrá evitar que esta vulnerabilidad sea explotada por actores maliciosos que buscan causar daño o robar información.