Martes de Parches de Microsoft soluciona 56 problemas, incluyendo una vulnerabilidad de día cero

Este martes, en su periodo regular de actualizaciones conocido como “martes de parches”, Microsoft ha corregido 56 fallas de seguridad en sus programas y sistemas, incluyendo una vulnerabilidad de día cero que ya se estaba explotando en la red.

La actualización de febrero aborda once vulnerabilidades críticas, dos moderadas y 43 importantes. Entre ellas se encuentra una vulnerabilidad de día cero registrada como CVE-2021-1732, que permite la elevación de privilegio en Win32k, un componente clave del sistema operativo Windows. Al explotar esta vulnerabilidad, el atacante consigue privilegios de administrador.

Se descubrió que un grupo de cibercriminales había encontrado el modo de explotar la vulnerabilidad y lo estuvo haciendo durante 7 meses. Los investigadores de la empresa china DBAPP Security creen que los responsables son los cibercriminales de Bitter, que ataca con frecuencia a usuarios y organizaciones de Pakistán y China.

Pero, además de la vulnerabilidad de día cero, el martes de parches también solucionó seis problemas que habían sido expuestos antes de que la compañía desarrollara un parche para evitar que se los explote. Por fortuna, los atacantes no habían comenzado a explotarlos antes de que se publicaran los parches.

Estos seis problemas son: la vulnerabilidad de negación de servicio en .NET Core y Visual Studio; una vulnerabilidad de elevación de privilegio en Sysinternals PsExec; una vulnerabilidad de ejecución remota de código en .NET Core; una vulnerabilidad de elevación de privilegio en el Instalador de Windows; una vulnerabilidad de negación de servicio en Windows Console Driver y una vulnerabilidad de publicación de información en Windows DirectX.

Otra de las vulnerabilidades más destacadas de este martes de parches es CVE-2021-24105, una vulnerabilidad en Azure Artifactory que se descubrió gracias a una prueba de concepto que hicieron investigadores en los sistemas de Microsoft. Esta vulnerabilidad permitía que se elaboren paquetes públicos maliciosos que tenían el mismo nombre que los paquetes internos que utilizan las aplicaciones internas de compañías. De esta manera, se instalaban los paquetes maliciosos en vez de los internos.

Esta vulnerabilidad permitía que se realicen ataques de cadena de suministros y afectó a compañías con fuerte presencia en Internet, incluyendo Microsoft, Apple, Uber, PayPal, Netflix, Yelp y Tesla.

El listado completo de las vulnerabilidades parchadas en este martes de parches está disponible aquí. Se recomienda instalar las actualizaciones lo antes posible si es que aún no lo han hecho, además de activar las actualizaciones automáticas.

Fuentes

Microsoft February 2021 Patch Tuesday fixes 56 bugs, including Windows zero-day ZDNet
Microsoft urges customers to patch critical Windows TCP/IP bugs Bleeping Computer
Microsoft February 2021 Patch Tuesday fixes 56 flaws, 1 zero-day Bleeping Computer