Actualizaciones de seguridad de Microsoft, octubre de 2014

Ayer debe haber sido el día en que más información se ha publicado en la historia de los martes de parches de Microsoft. El mes pasado indicamos que los cibercriminales responsables de Aurora Panda/DeputyDog habían dejado de tener control sobre una vulnerabilidad del día cero en IE que se estaba parchando, y eso nos pareció inusual. Este mes, se están parchando varias vulnerabilidades que los responsables de Amenazas Persistentes Avanzadas (APT) están abusando con exploits de día cero y se está indicando al público cuáles son las amenazas que las explotan. Ayer, Microsoft publicó ocho boletines de seguridad, de MS14-063 a MS14-063, tres de los cuales calificó como críticos.

Las más interesantes son las dos vulnerabilidades que se activan con funcionalidades de Windows pero se utilizan para lanzar ataques dirigidos de phishing, conocidos como “spearphishing”, con archivos adjuntos que se hacen pasar por documentos de Office: tablas de Excel, presentaciones de PowerPoint, documentos de Word, etc. La primera nos recuerda a los ataques de Duqu. MS14-058 parcha otra vulnerabilidad en el manejo de fuentes a nivel kernel, CVE-2014-4148, el mismo tipo de problema que se había visto en los exploits para lanzar los ataques spearhishing de Duqu. Microsoft ha calificado esta vulnerabilidad como crítica. Todavía no se ha vinculado a ningún actor específico con este ataque o exploit.

Para nuestra sorpresa, Microsoft calificó como “Importante” la vulnerabilidad de Windows OLE que se parchó con MS14-060. La APT conocida como “Sandworm team” desplegó CVE-2014-4114 junto con otros exploits en ataques contra blancos específicos. El grupo es conocido por propagar nuevas variantes del bot BlackEnergy en operaciones de ciberespionaje, que suelen estar dirigidas a entidades geopolíticas y militares. En un incidente, el equipo envió diapositivas de PowerPoint que contenían el exploit del día cero OLE en un ataque dirigido al gobierno de Ucrania y a organizaciones académicas estadounidenses. Cuando se abría el archivo, las diapositivas descargaban nuevas variantes de BlackEnergy a los sistemas de sus víctimas. Estas variantes mantienen características dedicadas a las tareas de ciberespionaje. Las características más interesantes de estos troyanos son sus complementos o módulos personalizados, pero profundizaremos en esto en otra entrada del blog.

Otro grupo, conocido como Hurricane Panda, trató de explotar CVE-2014-4113 en ataques dirigidos. Esta vulnerabilidad de elevación de privilegios puede ser un verdadero problema en situaciones en las que un atacante ha ingresado a una red y está intentando abrirse paso en su interior. La falla también existe en el código kernel de Windows y el boletín MS14-058 que mencionamos arriba también la parcha.

La actualización de Internet Explorer soluciona 14 vulnerabilidades, consideradas críticas para IE6 a IE11. Las vulnerabilidades no tienen ningún efecto sobre las instalaciones de Server Core.

Puedes leer más sobre los Boletines de Seguridad de Microsoft de octubre de 2014 aquí.