Actualizaciones de Microsoft, junio de 2014

Este mes, Microsoft ha publicado un paquete de códigos más pequeño que el usual para vulnerabilidades “Críticas” y un manojo de parches para vulnerabilidades “Importantes” con sus actualizaciones MS014-030 a MS014-036. ¡Vaya! ¡Son casi 60 vulnerabilidades de ejecución remota de código en las seis versiones de Internet Explorer y los componentes de Microsoft que interpretan las fuentes en tu sistema! No sólo llama la atención que la lista de problemas de corrupción de memoria sea tan larga; también es sorprendente que uno de los informes de vulnerabilidad de IE, enviado por Peter Van Eeckhoutte, tenga más de 180 días de antigüedad. Debe haber costado mucho evaluar y solucionar esta amenaza.

Microsoft lanzó dos boletines críticos para Internet Explorer (críticos para los sistemas de los clientes de Windows, pero Importante para los servidores) y GDI+, y cinco boletines para Microsoft Word, el paquete de red (TCP), su sistema de mensajería instantánea Lync y el componente MSXML que utiliza Internet Explorer.

La vulnerabilidad del día cero que se denunció hace 180 días es otra vulnerabilidad “use-after-free” que se activa por la forma en la que IE gestiona los objetos CMarkup de javascript. El descubridor de la vulnerabilidad pensó que la falla afectaba a Internet Explorer 8, pero el parche de Microsoft MS014-035 que soluciona CVE-2014-1770 está clasificado como “Crítico” para los problemas de ejecución remota de código en IE 6,7,8,9,10 y 11 cuando afectan a clientes de Windows, y “Moderado” para los servidores Windows. Los detalles sobre la vulnerabilidad se han revelado al público, por lo que existe el riesgo de que se la explote en el mundo real. Por ahora, no hemos detectado ningún ataque que aproveche esta falla, pero seguiremos controlando la información que nos llega.

MS014-035 también sigue la línea de discusión de la vulnerabilidad Heartbleed con otro boletín TLS. Un equipo de investigadores, que incluye a uno de Microsoft Research, publicó un informe substancial en inglés llamado: “Apretones de manos triples y cortadores de cookies: rompiendo y arreglando la autentificación mediante TLS “. Detalla varios ataques de intermediario (man-in-the-middle) a sesiones de redes cifradas que se lograron por la implementación de seguridad en la capa de transporte (TLS) en Microsoft, Google, Apple y Mozilla. Este boletín es la solución de Microsoft para su propio código: los otros usan implementaciones de GnuTLS, OpenSSL y GNU SASL.

Entre las vulnerabilidades críticas de este mes también llama la atención la gran variedad de programas afectados por las fallas de gestión de TrueType que se parcharon con MS014-036 – USP10 (la misma dll que implementa “Uniscribe”), GDI+, gdi32, DirectWrite, los programas Microsoft Office 2007 y 2010 (pero no Office para Mac 2011), la consola Live Meeting 2007 y las aplicaciones Lync 2010 y 2013. Es una amplia distribución de código para modo de usuario. Supongo que ésta es una razón válida para seguir leyendo todos tus correos en forma de texto simple.

Por último, es muy importante que los administradores de sistemas corporativos presten atención a la lucha de una década de Microsoft contra las técnicas de ataques Pass-the-Hash, que se pudo notar esta semana en la discusión del informe del grupo Shanghai APT, también conocido como MsUpdater o Putter Panda, y hace tres semanas con los cargos presentados contra el grupo de APT de Beijing que incluye a miembros reconocidos como Ugly Gorilla y Comment Crew.
Hace un par de semanas, también se publicó KB2871997 fuera del ciclo regular de actualizaciones. Sirve para la mayoría de las versiones de la plataforma Windows para entornos corporativos: Windows 7, Windows 8, Windows Server 2008R2 y Windows Server 2012 pero, por desgracia, no para todas. Las nuevas características ofrecen un grupo de “Usuarios Protegidos” reemplazando viejos métodos de autentificación con Kerberos para usuarios selectos, restricciones del modo RDP administrativo y limpieza de las credenciales LSA. Ofrecen guía para revisar el uso de WDigest en registros del servidor DC/ y, mientras que las herramientas de los atacantes pueden alterar o eliminar eventos de estos registros, es muy importante estar atentos a cualquier indicio de funcionamiento inusual de WDigest.