Actualizaciones de seguridad en Microsoft abordan 112 vulnerabilidades de riesgo crítico, alto y medio

Microsoft ha lanzado actualizaciones de seguridad correspondientes al Patch Tuesday de Noviembre, en donde fueron abordadas 112 vulnerabilidades que afectan a diversos de sus productos, de las cuales 17 han sido catalogadas como críticas, 93 de riesgo alto y 2 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante ejecutar código arbitrario, escalar privilegios, acceder a información potencialmente confidencial, entre otros ataques.

Productos Afectados:

• Microsoft Windows 10, Windows 8.1, Windows 7, Windows Server 2008, Windows Server 2012, Windows Server 2016 y Windows Server 2019
• Internet Explorer
• Microsoft Edge (EdgeHTML-based)
• ChakraCore
• Microsoft Windows Codecs Library
• Azure Sphere
• Azure SDK
• Azure DevOps
• Visual Studio Code
• Azure Sphere
• Microsoft Dynamics
• Microsoft SharePoint
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Teams
• Windows Defender;
• Windows Kernel
• Windows WalletService

A continuación se describen los fallos clasificados por nivel de riesgo indicado en el aviso de seguridad oficial de Microsoft.

Vulnerabilidades de riesgo crítico

Múltiples vulnerabilidades de ejecución remota de código arbitrario:

• El CVE-2020-17051, con calificación de riesgo 9.8, afecta a Windows Network File System en los siguientes sistemas operativos . La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos.
• El CVE-2020-17042, con calificación de riesgo 8.8, afecta a Windows Print Spooler en los siguientes sistemas operativos. La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos.
• Los CVE-2020-17106, CVE-2020-17107,CVE-2020-17108, CVE-2020-17109 y CVE-2020-17110, todos con calificaciones de riesgo 7.8, afectan a las extensiones HEVC Video de la librería Microsoft Windows Codecs. La explotación exitosa es local y se requiere de la interacción del usuario. No requiere privilegios administrativos.
• El CVE-2020-17101, con calificación de riesgo 7.8 afecta a las extensiones HEIF Image de la librería Microsoft Windows Codecs. La explotación exitosa es local y se requiere de la interacción del usuario. No requiere privilegios administrativos. La explotación exitosa es local y se requiere de la interacción del usuario. No requiere privilegios administrativos.
• El CVE-2020-17105, con calificación de riesgo 7.8, afecta a la extensión AV1 Video de la librería Microsoft Windows Codecs. La explotación exitosa es local y se requiere de la interacción del usuario. No requiere privilegios administrativos.
• Finalmente, los CVE-2020-17082, CVE-2020-17078 y CVE-2020-17079, todos con calificaciones de riesgo 7.8, afectan a la extensión Raw Image de la librería Microsoft Windows Codecs. La explotación exitosa es local y se requiere de la interacción del usuario. No requiere privilegios administrativos.

Vulnerabilidades de corrupción de memoria

• El CVE-2020-17058, con calificación de riesgo 7, afecta a Internet Explorer 11 y Microsoft Edge (EdgeHTML-based) en los siguientes sistemas operativos. La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos;
• El CVE-2020-17048, con calificación de riesgo 4.2, afecta al motor de scripting ChakraCore de Microsoft Edge (EdgeHTML-based) en los siguientes sistemas operativos. La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos;
• El CVE-2020-17053, con calificación de riesgo 7.5, afecta a Internet Explorer 11, en los siguientes sistemas operativos,,La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos
• El CVE-2020-17052, con calificación de riesgo 7.5, afecta al motor de scripting de Internet Explorer 11 y Microsoft Edge (EdgeHTML-based) en los siguientes sistemas operativos. La explotación exitosa se da a través de la red y se requiere de la interacción del usuario. No requiere privilegios administrativos

Finalmente el CVE-2020-16988, con calificación de riesgo 6.9, que permitiría a un atacante con acceso físico, escalar privilegios, afecta a Microsoft Azure Sphere en versiones anteriores a la 20.09.

Vulnerabilidades de riesgo alto y medio

La más resaltante de todas las vulnerabilidades de riesgo alto abordadas es una vulnerabilidad Zero-day, ya informada días atrás: Vulnerabilidad Zero-day, que afecta al kernel de Windows en los siguientes sistemas operativos, identificada con el CVE-2020-17087, con calificación de riesgo 7.8, y que permitiría a un atacante local escalar privilegios.

Por otro lado, se identificaron múltiples vulnerabilidades de riesgo alto que permitirían a un atacante escalar privilegios en Windows (CVE-2020-17032, CVE-2020-17033, CVE-2020-17026, CVE-2020-17031) y Windows Kernel (CVE-2020-17035, CVE-2020-17087), entre otras más detalladas en el aviso de seguridad de Microsoft.

Vulnerabilidades de riesgo alto que permitirían la ejecución remota de código en Microsoft Exchange Server (CVE-2020-17084), Microsoft Graphics Component (CVE-2020-17068), Microsoft Office (CVE-2020-17065, CVE-2020-17064, CVE-2020-17066, CVE-2020-17019), Microsoft Teams (CVE-2020-17091) y Microsoft Sharepoint (CVE-2020-17061), entre otras más detalladas en el aviso de seguridad de Microsoft.

Los demás productos afectados pueden verse en: https://msrc.microsoft.com/update-guide/releaseNote/2020-Nov

Recomendaciones:

• Aplicar la actualización de seguridad, desde el apartado “Security Updates” de la página oficial de Microsoft, para los siguientes productos afectados:
  • Azure Sphere, desde el siguiente enlace.
  • Internet Explorer 11 y Microsoft Edge (EdgeHTML-based), desde el siguiente enlace.
  • Microsoft Exchange Server, desde el siguiente enlace.
  • Microsoft Office, desde el siguiente enlace.
  • Microsoft SharePoint, desde el siguiente enlace.
  • Microsoft Teams, desde el siguiente enlace.
  • Visual Studio Code, desde el siguiente enlace.
• Aplicar los parches de seguridad correspondientes a cada sistema operativo, para ello dirigirse al menú de Ajustes (Settings) > Actualización y seguridad (Update & Security) > Actualización de Windows (Windows Update) > Revisar actualizaciones (Check for updates) y la actualización se descargara e instalara automáticamente.

Para más detalles y recomendaciones consulte el aviso de seguridad oficial de Microsoft.

Referencias:

• https://msrc.microsoft.com/update-guide/releaseNote/2020-Nov
• https://www.bleepingcomputer.com/news/security/microsoft-november-2020-patch-tuesday-fixes-112-vulnerabilities/
• https://thehackernews.com/2020/11/microsoft-releases-windows-security.html