Cabecera-v2-web.jpg

Actualizaciones de seguridad para vulnerabilidades críticas e importantes en varios productos de Microsoft


Microsoft lanzó boletines de seguridad para diversos productos. En esta ocasión, las actualizaciones afectan a:

  • Microsoft Windows;
  • Microsoft Edge (basado en EdgeHTML);
  • Microsoft Edge (basado en Chromium);
  • ChakraCore;
  • Internet Explorer;
  • Microsoft Excel;
  • Microsoft Exchange Server;
  • Microsoft SQL Server;
  • Windows Installer;
  • Microsoft Office, Microsoft Office Services y Web Apps;
  • Windows Malicious Software Removal Tool;
  • Windows Surface Hub.

Las actualizaciones abordan 101 fallas de los cuales 13 se consideran críticos y 88 importantes, entre ellas el zero-day CVE-2020-0674 el cual se conoció luego de que se lanzará el paquete de actualizaciones correspondiente al mes de enero. La misma afecta a Internet Explorer y Microsoft confirmó que había estado siendo explotada en ataques dirigidos, esta falla permite a un atacante ejecutar código remoto debido a una vulnerabilidad en el navegador, utilizando técnicas de ingeniería social un atacante solo necesita que la víctima pulse un enlace malicioso y este sea abierto a través de Internet Explorer, con esto se lograría tomar el control del equipo de la víctima, instalar programas, ver, cambiar o eliminar datos o crear nuevas cuentas de usuario.

El CVE-2020-0759, permitiría la ejecución remota de código, en la máquina de la víctima pero teniendo en cuenta que los privilegios con los que se pueden realizar acciones, dependen de los privilegios que tenga asignado el usuario. Esta falla se da en Microsoft Excel y es debido a que este no puede manejar correctamente los objetos en memoria y para una explotación exitosa de esta vulnerabilidad el atacante debe convencer a la víctima de abrir un archivo excel especialmente diseñado.

El CVE-2020-0738, permitiría a un atacante instalar programas, ver, cambiar, eliminar información o crear archivos. La vulnerabilidad se da debido a una corrupción de memoria en Windows Media Foundation. Para la explotación exitosa de esta vulnerabilidad, el atacante debe convencer a la víctima para que la misma abra un documento especialmente diseñado o visite una página web maliciosa.

Los identificadores CVE-2020-0734 y CVE-2020-0681 permiten a un atacante la ejecución remota de código, con lo que lograría ver, cambiar, eliminar datos o crear nuevas cuentas. Estas fallas se dan en Windows Remote Desktop Client y para la explotación exitosa de esta vulnerabilidad el atacante tendría que tener el control de un servidor y luego convencer a la víctima para que se conecte a este servidor malicioso o inseguro.

En cuanto al CVE-2020-0729, describe una falla que permite a un atacante ejecutar código de manera remota o tomar control del sistema afectado utilizando un archivo .LNK malicioso junto con un binario específicamente diseñado para realizar el ataque. Para la explotación exitosa de esta vulnerabilidad, el atacante debería entregar a la víctima una unidad extraíble, o recurso compartido remoto, que contenga el archivo .LNK y el binario malicioso asociado. Cuando la víctima abre esta unidad, recurso remoto compartido en el Explorador de Windows o cualquier otra aplicación que analice el archivo .LNK, el binario malicioso ejecutará el código del atacante en el sistema afectado.

El CVE-2020-0683, permite un escalamiento de privilegio y se da en Windows Installer cuando los paquetes MSI procesan enlaces simbólicos. Para la explotación exitosa de esta vulnerabilidad, el atacante debería iniciar sesión en el sistema afectado y ejecutar un archivo especialmente diseñado. A continuación un ejemplo de explotación de esta vulnerabilidad aquí.

Por último el CVE-2020-0662, permite a un atacante la ejecución remota de código con privilegios elevados y esta falla se da debido a una corrupción de memoria en el servicio de Conexión compartida a Internet (ICS). Para la explotación exitosa de esta vulnerabilidad, un atacante podría enviar paquetes DHCP especialmente diseñados al servidor.

Recomendación:

Microsoft ha publicado actualizaciones de seguridad para cada uno de los productos afectados por las vulnerabilidades descritas más arriba, y se encuentran en su sitio oficial para su descarga e instalación.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11