Actualizaciones de seguridad de emergencia en Microsoft abordan vulnerabilidades en Windows 10 y Visual Studio

Fecha: 20/10/2020

Recientemente, Microsoft lanzó parches de seguridad de emergencia, en donde se abordaron 2 vulnerabilidades de riesgo alto que afectan a la biblioteca de códecs de Windows 10 y a la aplicación Visual Studio Code. La explotación exitosa de estos fallos permitiría a un atacante remoto ejecutar código arbitrario.

Sistemas Afectados:

• Windows 10 versión 1709 para sistemas de 32 bit;
• Windows 10 versión 1709 para sistemas basados en ARM64;
• Windows 10 versión 1709 para sistemas basados en x64;
• Windows 10 versión 1803 para sistemas de 32 bit;
• Windows 10 versión 1803 para sistemas basados en ARM64;
• Windows 10 versión 1803 para sistemas basados en x64;
• Windows 10 versión 1809 para sistemas de 32 bit;
• Windows 10 versión 1809 para sistemas basados en ARM64;
• Windows 10 versión 1809 para sistemas basados en x64;
• Windows 10 versión 1903 para sistemas de 32 bit;
• Windows 10 versión 1903 para sistemas basados en ARM64;
• Windows 10 versión 1903 para sistemas basados en x64;
• Windows 10 versión 1909 para sistemas basados en ARM64;
• Windows 10 versión 1909 para sistemas basados en x64;
• Windows 10 versión 2004 para sistemas de 32 bit;
• Windows 10 versión 2004 para sistemas basados en ARM64;
• Windows 10 versión 2004 para sistemas basados en x64;
• Visual Studio Code.

A continuación se detallan brevemente ambos fallos:

El CVE-2020-17022, afecta a la biblioteca de códecs de Windows 10 y se da debido a un mal manejo de objetos en memoria. Un atacante podría explotar exitosamente este fallo utilizando archivos de imágenes especialmente diseñados, para que al ser procesados por una aplicación lleve a la ejecución remota de código. Esta vulnerabilidad afecta específicamente a los archivos de imágenes que utilizan el códec HEVC (High Efficiency Video Coding).

Por otro lado, el CVE-2020-17023 afecta a Visual Studio Code y se da cuando un usuario abre un archivo package.json (utilizados generalmente en proyectos y librerías de Javascript). Un atacante podría explotar exitosamente este fallo introduciendo código malicioso en los archivos de tipo package.json y mediante engaños lograr que una víctima lo abra, llevando a la ejecución remota de código en el contexto del usuario actual.

En caso de que la víctima cuente con permisos de administrador, el atacante podría comprometer por completo el sistema afectado.

Recomendaciones:

• En el caso del códec HEVC la actualización llegará automáticamente a través de la Microsoft Store, y para comprobar si el sistema está afectado por este fallo siga los siguientes pasos:
  • Diríjase a Configuración, luego a Aplicaciones y características
  • En este apartado, seleccione HEVC y luego pulse en Opciones Avanzadas
  • Las versiones parcheadas son las 1.0.32762.0, 1.0.32763.0 y posteriores.
• Actualice Visual Studio Code a la última versión disponible, desde el siguiente enlace.

Referencias:

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17022
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17023
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/ejecucion-remota-codigo-visual-studio-y-microsoft-windows-codecs
• https://microsofters.com/172692/microsoft-lanza-una-actualizacion-de-emergencia-para-windows-10-y-visual-studio/