Actualizaciones de seguridad de Microsoft, Septiembre 2014

Este mes, Microsoft ha lazado cuatro boletines de seguridad para parchar 42 vulnerabilidades en Internet Explorer (MS 14-052), .NET (MS14-053), el administrador de tareas de Windows (MS14-054) y muchos otros problemas en Windows Lync Server (MS14-055). Según mis cálculos, hay un total de 37 CVEs en Internet Explorer, y otros cinco en los tres programas restantes.

Lo más interesante es la vulnerabilidad XMLDOM (cve-2013-7331), una vulnerabilidad que se ha discutido en público desde por lo menos el 25 de abril de 2013. Se modificó el propósito de la prueba de concepto para que Amenazas Persistentes Avanzadas (APT) como Aurora Panda, también conocida como “el actor DeputyDog”, bombardeara la vulnerabilidad con el ataque regadera (watering hole) VFW. El grupo tiene un grado técnico muy avanzado y un modo de operar muy efectivo, y a lo largo del tiempo desplegó varias vulnerabilidades de día cero para que le ayudaran a alcanzar sus maliciosos objetivos. Es posible que su truco xmldom le haya permitido retrasar el descubrimiento de sus 0day de IE y la presencia del servidor VFW comprometido. “El atacante puede diagnosticar sin problemas si la máquina está ejecutando EMET al cargar una cadena de caracteres XML. Si el código de regreso analizado sintácticamente falla, quiere decir que EMET no está presente y que el atacante puede proceder con el exploit”. Microsoft calificó al parche de esta vulnerabilidad como “importante” en las versiones de su sistema operativo, mientras que otras vulnerabilidades que se habían denunciado en privado están catalogadas como “críticas”.

Las otras 36 vulnerabilidades de corrupción de memoria de Internet Explorer permiten todo tipo de formas de explotación en las diferentes plataformas, pero tienen en común que todas permiten la ejecución remota de códigos. Lo más interesante es que los parches para Internet Explorer v10 y v11 en Windows 8.1 están calificados como Críticos por su capacidad de ejecutar códigos de forma remota.

Este mes también se abordó el problema de una vulnerabilidad de elevación de privilegios de Task Scheduler, que recuerda a una de las vulnerabilidades de día cero de Stuxnet que los analistas de Kaspersky Lab descubrieron en 2010 y el grupo Tdss comenzó a abusar después. Se lanzó una actualización de la advertencia para lidiar con el movimiento lateral posterior a la explotación de la amenaza. Esta vez, la vulnerabilidad parchada no está relacionada con problemas pass-the-hash más antiguos, sino con retrasos al otorgar tickets de Kerberos. Puedes descargar el paquete de limpieza de credenciales de ingreso aquí.

Puedes leer más sobre los boletines de seguridad de Microsoft aquí.