Microsoft ha publicado, como cada segundo martes de mes, su conjunto de parches de seguridad (Patch Tuesday). Durante este mes, Microsoft ha corregido un total de 97 vulnerabilidades, entre las cuales se encuentran 9 vulnerabilidades de riesgo crítico, además de 6 vulnerabilidades 0day, que han sido divulgadas públicamente sin la existencia de un parche de seguridad.

Las vulnerabilidades, establecidas como críticas por Microsoft, y corregidas en el Patch Tuesday son las siguientes:

• CVE-2022-21907: Vulnerabilidad de ejecución remota de código en la pila del protocolo HTTP, con una puntuación CVSSv3 de 9.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
• CVE-2022-21846: Vulnerabilidad de ejecución remota de código en los servidores de Microsoft Exchange, con una puntuación CVSSv3 de 9.0.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846
• CVE-2022-21840: Vulnerabilidad de ejecución remota de código en Microsoft Office, con una puntuación CVSSv3 de 8.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21840
• CVE-2022-21857: Vulnerabilidad de escalada de privilegios en los servicios de dominio del Directorio Activo, con una puntuación CVSSv3 de 8.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21857
• CVE-2022-21898: Vulnerabilidad de ejecución remota de código en el núcleo de DirectX, con una puntuación CVSSv3 de 7.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21898
• CVE-2022-21912: Vulnerabilidad de ejecución remota de código en el núcleo de DirectX, con una puntuación CVSSv3 de 7.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21912
• CVE-2022-21833: Vulneraebilidad de escalada de privilegios en las unidades IDE virtualizadas, con una puntuación CVSSv3 de 7.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21833
• CVE-2022-21917: Vulnerabilidad de ejecución remota de código en las extensiones de video HEVC, con una puntuación CVSSv3 de 7.8.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21917
• CVE-2021-22947: Vulnerabilidad de ejecución remota de código en el software de código abierto Curl, con una puntuación CVSSv3 de 5.9.
  Más información acerca de la vulnerabilidad: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-22947

Las vulnerabilidades, establecidas como 0day por Microsoft, han sido identificadas con los siguientes códigos: CVE-2021-22947, CVE-2021-36976, CVE-2022-21919, CVE-2022-21836, CVE-2022-21839 y CVE-2022-21874.

Actualmente, no se ha detectado ninguna actividad relacionada con las vulnerabilidades divulgadas, sin embargo, debido a que existen pruebas de concepto públicas de algunas de estas, desde Hispasec recomendamos aplicar de forma urgente los parches de seguridad de Microsoft.

Para consultar el listado completo de vulnerabilidades con parches de seguridad, se puede consultar la guía de actualizaciones de seguridad de Microsoft.

Más información:

BleepingComputer – Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws:
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/

Tenable – Microsoft addresses 97 CVEs in its January 2022 Patch Tuesday release, including four zero-day vulnerabilities that were publicly disclosed but not exploited in the wild:
https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907

Microsoft – Security Update Guide:
https://msrc.microsoft.com/update-guide/vulnerability