ROYAL ITC S.A.C.

Soluciones Eficientes para la Gestión de TI

http:/www.royalcor.com

REPORTE DE
INTELIGENCIA
DE
AMENAZAS
SERVICIO DE INTELIGENCIA DE
AMENAZAS DEL CYBERSOC
PARA CAJA AREQUIPA
La información contenida en este informe es propiedad de Royal ITC SAC por el
Servicio Monitorsec que se brinda a Caja Arequipa. Se provee con la condición de que
esta información será mantenida como confidencial y no será utilizada para ningún
otro propósito en su totalidad o parcialmente, sin previo permiso escrito de CMAC
Arequipa.  
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Contenido
Informació n Principal......................................................................................................................2
Resumen Ejecutivo...........................................................................................................................3
I. Microsoft en el martes de parche de julio encuentra vulnerabilidades críticas y altas........4
a) CVE-2021-34448 | Vulnerabilidad de corrupció n de memoria del motor de secuencias de
comandos..........................................................................................................................................5
b) CVE-2021-34450 | Vulnerabilidad de ejecució n remota de có digo de Windows Hyper-V.. 5
c) CVE-2021-33746, CVE-2021-33754, CVE-2021-33780, CVE-2021-34494 y CVE-2021-
34525 | Vulnerabilidad de ejecució n remota de có digo del servidor DNS de Windows..............5
d) CVE-2021-33768, CVE-2021-34470 y CVE-2021-34523 | Vulnerabilidad de elevació n de
privilegios de Microsoft Exchange Server.......................................................................................6
e) CVE-2021-31196, CVE-2021-31206 y CVE-2021-34473 | Vulnerabilidad de ejecució n
remota de có digo de Microsoft Exchange Server............................................................................6
f) CVE-2021-31979 y CVE-2021-33771 | Vulnerabilidad de elevació n de privilegios del
kernel de Windows...........................................................................................................................7
II. Productos Infectados................................................................................................................7
Conclusiones.....................................................................................................................................9
Recomendaciones...........................................................................................................................10
Referencias......................................................................................................................................11
Acuerdo de confidencialidad.........................................................................................................12
Acuerdo...........................................................................................................................................12
Informació n.....................................................................................................................................12
Informació n de Contacto................................................................................................................13
Informació n de la compañ ía..........................................................................................................13

Página | 1
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Informació n Principal

DATOS PRINCIPALES

CLAUSULAS DESCRIPCIÓ N
RUC 20100209641

Razón Social CAJA MUNICIPAL DE AHORRO Y CRÉ DITO AREQUIPA

Gerencia de Soluciones de Negocio / Jefatura de Ciberseguridad y

Unidad / Área
Continuidad Operacional

Proyecto Servicio de Monitorsec 24x7

Contrato Nro. 71/2020-ALEG

Emisión Documento /07/2021

Tema Reporte de Inteligencia de Amenazas

Página | 2
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Resumen Ejecutivo

El presente reporte tiene como objetivo principal informar sobre las vulnerabilidades CVE-2021-
34450, CVE-2021-34448, CVE-2021-31979, CVE-2021-33771, CVE-2021-31196, CVE-2021-31206,
CVE-2021-34473, CVE-2021-33768, CVE-2021-34470, CVE-2021-34523, CVE-2021-33746, CVE-
2021-33754, CVE-2021-33780, CVE-2021-34494, CVE-2021-34525 de Microsoft que permite aún
atacante realizar diferentes tipos de ataques sobre ejecución remota de código, corrupción de
memoria, elevación de privilegios.

Página | 3
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

I. Microsoft en el martes de parche de julio encuentra

vulnerabilidades críticas y altas.
Microsoft parcheó 116 CVE en su lanzamiento del martes de parches de julio de 2021,
incluidos CVE calificados como críticos e importantes. incluidos 12 CVE calificados como
críticos, 103 calificados como importantes y uno calificado como moderado.

Las vulnerabilidades de ejecución remota de código (RCE) representaron el 37,1% de las

vulnerabilidades parcheadas este mes, seguidas por la Elevación de privilegios (EoP) en
27,6%.

Gráfica 1 Cantidades de CVE's

Gráfica 2Porcentajes de Impacto

Página | 4
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

a) CVE-2021-34448 | Vulnerabilidad de corrupció n

de memoria del motor de secuencias de
comandos.
CVE-2021-34448 es una vulnerabilidad de corrupción de memoria en Microsoft
Scripting Engine que se ha explotado en la naturaleza como un día cero, según
Microsoft. Un atacante necesitaría atraer a una víctima para que visite un sitio web
malicioso para aprovechar esta vulnerabilidad. Debido a que la explotación requiere la
interacción del usuario, esta vulnerabilidad solo recibió una puntuación CVSSv3 de 6.8.

b)CVE-2021-34450 | Vulnerabilidad de ejecució n

remota de có digo de Windows Hyper-V.
CVE-2021-34450 es una vulnerabilidad RCE en Windows Hyper-V, que permitiría a un
atacante que está autenticado en una máquina virtual invitada (VM) enviar solicitudes
diseñadas para ejecutar código arbitrario en la máquina host. Si bien Microsoft califica
esto como "Explotación menos probable", es importante considerar que las variantes
de malware comúnmente buscan escapar de las VM e infectar la máquina host, por lo
que parchear esta falla debe seguir siendo una prioridad a pesar de la evaluación de
riesgos de Microsoft.

c) CVE-2021-33746, CVE-2021-33754, CVE-2021-

33780, CVE-2021-34494 y CVE-2021-34525 |
Vulnerabilidad de ejecució n remota de có digo del
servidor DNS de Windows.
CVE-2021-33746, CVE-2021-33754, CVE-2021-33780, CVE-2021-34494 y CVE-2021-
34525son las vulnerabilidades de RCE encontradas en el servidor DNS de Windows.
Mientras que CVE-2021-33746 y CVE-2021-33754 recibieron puntuaciones CVSSv3 de
8.0, el resto se calificó como 8.8 porque no se requiere la interacción del usuario.
Según los puntajes proporcionados, la explotación de estas fallas requeriría una
cuenta con pocos privilegios, presumiblemente con la capacidad de enviar solicitudes
de DNS diseñadas a través de la red, para apuntar a un servidor DNS afectado.
Microsoft menciona específicamente en los avisos para CVE-2021-33780 y CVE-2021-
34494 que un host solo se ve afectado si está configurado como un servidor DNS,
aunque los CVE restantes no brindan esta claridad. Incluso sin la aclaración sobre estos
CVE, recomendamos aplicar los parches acumulativos necesarios a todos los hosts
aplicables.

Página | 5
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

d)CVE-2021-33768, CVE-2021-34470 y CVE-2021-

34523 | Vulnerabilidad de elevació n de privilegios
de Microsoft Exchange Server.
CVE-2021-33768, CVE-2021-34470 y CVE-2021-34523son vulnerabilidades EoP en
Microsoft Exchange Server. CVE-2021-34523 es el EoP de Exchange Server con la
calificación más alta, y recibe una puntuación CVSSv3 de 9,0, aunque es menos
probable que sea explotado según el Índice de Explotación de Microsoft, ya que un
atacante debería haber establecido ya una presencia en el Exchange Server
vulnerable. primero antes de que pudieran elevar los privilegios. Al igual que CVE-
2021-34473, CVE-2021-34523 fue parcheado como parte del lanzamiento del martes
de parches de abril de 2021 y es otra vulnerabilidad que Microsoft dice que se omitió
de sus notas de lanzamiento sin darse cuenta. CVE-2021-33768 también fue revelado
a Microsoft por Orange Tsai. Para las organizaciones que ejecutan Exchange Server en
las instalaciones, es importante aplicar los parches disponibles lo antes posible,
especialmente con la mayor orientación a servidores vulnerables.

e) CVE-2021-31196, CVE-2021-31206 y CVE-2021-

34473 | Vulnerabilidad de ejecució n remota de
có digo de Microsoft Exchange Server.
CVE-2021-31196, CVE-2021-31206 y CVE-2021-34473 son vulnerabilidades de RCE en
Microsoft Exchange Server. CVE-2021-34473 tiene la calificación más alta, recibe una
puntuación CVSSv3 de 9.1 y es más probable que se explote de acuerdo con el índice
de explotación de Microsoft. También fue parcheado como parte del lanzamiento del
martes de parches de abril de 2021, aunque Microsoft dice que el CVE fue "omitido
inadvertidamente" de la guía de actualización de seguridad a pesar de estar
parcheado. Exchange Server se ha convertido en un objetivo muy popular desde
marzo, cuando Microsoft parcheó cuatro vulnerabilidades de día cero, incluida CVE-
2021-26855 (ProxyLogon) en una versión fuera de banda. De hecho, CVE-2021-31196
fue revelado a Microsoft por Orange Tsai del equipo DEVCORE, quien también fue
responsable de revelar ProxyLogon y otras vulnerabilidades de Exchange Server a
principios de este año. Para las organizaciones que ejecutan Exchange Server en las
instalaciones, es importante aplicar los parches disponibles lo antes posible,
especialmente con la mayor orientación a servidores vulnerables.

Página | 6
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

f) CVE-2021-31979 y CVE-2021-33771 |
Vulnerabilidad de elevació n de privilegios del
kernel de Windows.
CVE-2021-31979 y CVE-2021-33771 son vulnerabilidades EoP en el kernel de
Windows. Ambas vulnerabilidades recibieron una puntuación CVSSv3 de 7,8 y se han
explotado en la naturaleza como días cero, según el Centro de inteligencia de
amenazas y el Centro de respuesta de seguridad de Microsoft. Un atacante local y
autenticado podría aprovechar estas vulnerabilidades para ejecutar procesos con
permisos elevados. En abril de 2020 se repararon vulnerabilidades similares de día
cero, que se observaron bajo explotación activa por parte de Google Project Zero.

II. Productos Infectados.

Productos Versión CVE

1607 for 32-bit Systems,

1607 for x64-based CVE-2021-33746, CVE-
Systems, 1607, 1809, 2021-31979, CVE-2021-
1909, 2004, 2004, 20H2, 33771, CVE-2021-34450,
Windows 10 21H1 CVE-2021-34448

CVE-2021-33768, CVE-
2021-34470, CVE-2021-
34523, CVE-2021-34523,
Microsoft Exchange CVE-2021-31206, CVE-
Server 2016, 2019 2021-34473

CVE-2021-34523, CVE-
Microsoft Exchange 2021-34523, CVE-2021-
Server 2013 31206, CVE-2021-34473

CVE-2021-31979, CVE-
2021-33771, CVE-2021-
Windows RT 8.1 33771, CVE-2021-34448

CVE-2021-31979, CVE-
2021-33771, CVE-2021-
Windows 8.1 x32, x64 34448

Productos Versión CVE

Página | 7
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

CVE-2021-33746, CVE-
2021-33754, CVE-2021-
33780, CVE-2021-34494,
CVE-2021-34525, CVE-
2021-31979, CVE-2021-
Windows Server 2012 33771, CVE-2021-34448

Windows Server 2012 R2
CVE-2021-33746, CVE-
2021-33754, CVE-2021-
33780, CVE-2021-34494,
CVE-2021-34525, CVE-
2021-31979, CVE-2021-
33771, CVE-2021-34448

CVE-2021-33746, CVE-
2021-33754, CVE-2021-
33780, CVE-2021-34494,
CVE-2021-34525, CVE-
2021-31979, CVE-2021-
Windows Server 2016 33771, CVE-2021-34448

CVE-2021-33746, CVE-
2021-33754, CVE-2021-
33780, CVE-2021-34494,
CVE-2021-34525, CVE-
2021-31979, CVE-2021-
33771, CVE-2021-34450,
Windows Server 2019 CVE-2021-34448

CVE-2021-33746, CVE-
2021-33754, CVE-2021-
33780, CVE-2021-34494,
CVE-2021-31979, CVE-
Windows Server 2004 2004, 20H2 2021-33771

Página | 8
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Conclusiones
 Microsoft parchó las vulnerabilidades CVE-2021-34450, CVE-2021-34448, CVE-2021-
31979, CVE-2021-33771, CVE-2021-31196, CVE-2021-31206, CVE-2021-34473, CVE-2021-
33768, CVE-2021-34470, CVE-2021-34523, CVE-2021-33746, CVE-2021-33754, CVE-2021-
33780, CVE-2021-34494, CVE-2021-34525 en la actualización de seguridad de julio, que
son para los atacantes potencialmente explotables para la ejecución remota de código
(RCE), elevación de privilegios, ejecución de remota de código.

Página | 9
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Recomendaciones

 Instalar los parches de actualización, el cual soluciona las vulnerabilidades. Los parches se
pueden encontrar en el siguiente enlace:

https://msrc.microsoft.com/update-guide/en-us

Página | 10
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Referencias

 Blog | Segu.Info
https://blog.segu-info.com.ar/2021/07/actualizaciones-criticas-de-seguridad.html

 Blog |Threatpost
https://threatpost.com/microsoft-crushes-116-bugs/167764/

 Blog | Krebs on Security

https://krebsonsecurity.com/2021/07/microsoft-patch-tuesday-july-2021-edition/

 Blog | Tenable
https://es-la.tenable.com/blog/microsoft-s-july-2021-patch-tuesday-includes-116-cves-
cve-2021-31979-cve-2021-33771

Página | 11
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Acuerdo de confidencialidad

Acuerdo
Cualquier información directa o indirectamente recibida de la Caja Arequipa en relación con
este servicio, es tratada por ROYAL ITC S.A.C. como confidencial y clasificada como de Uso
Interno.

USO INTERNO: información que, sin ser reservada ni restringida, debe mantenerse en el
ámbito interno de la empresa y no debe estar disponible externamente, excepto a
terceras partes involucradas previo compromiso de confidencialidad y conocimiento del
propietario de la misma.

Informació n
El término "información" a que se refiere el objetivo del presente Acuerdo de
Confidencialidad incluye, aunque no se limita a, información técnica y comercial de todo tipo
ya sea transmitida de forma verbal, escrita o por soporte magnético o cualquier otro medio
telemático, conocimientos y experiencias directamente vinculados al resultado y ejecución
del citado Acuerdo, así como los datos de carácter personal de los que se pudiera tener
conocimiento como consecuencia o aplicación de este Acuerdo.

Toda la información facilitada por la Caja Arequipa a ROYAL ITC S.A.C. se considera entregada
para el cumplimiento exclusivo del objetivo del presente acuerdo y será devuelto por la parte
receptora a petición de esta o bien certificará haber sido destruida, si así se lo requiere.

Página | 12
 Có digo: RE-IA-01-SOC-07-21
REPORTE DE INTELIGENCIA DE Versió n: 1
AMENAZAS Emisió n: 14/07/2021

Informació n de Contacto

ANALISTA
VULNERABILIDADES

JOSUE PEÑA DIAZ

Tel. 975982228
josue.pena@royalcor.com

Informació n de la compañ ía

ROYAL ITC S.A.C

Soluciones Eficientes para la Gestió n de TI
Lima – Perú
http://www.royalcor.com

Página | 13