Microsoft ha lanzado parches para 112 vulnerabilidades como parte de su acostumbrado Martes de Parches. El bombardeo de seguridad afecta a una diversidad de vulnerabilidades, incluyendo 17 vulnerabilidades críticas y una “de día cero” que ya estaba siendo explotada por usuarios malintencionados.
La vulnerabilidad del día cero que se acaba de parchar, con código CVE-2020-17087, se encuentra en el Controlador de Criptografía del Kernel de Windows. La falla afecta a las Actualizaciones de Seguridad Extendida (ESU) en Windows 7 y Server 8 y está calificada como “Importante” por Microsoft.
Sin embargo, puede encadenarse con la vulnerabilidad CVE-2020-1599 de saturación de búfer en la biblioteca FreeType2 que usa Google Chrome, y al hacerlo puede utilizarse para escapar la caja de arena de Google Chrome para elevar los privilegios del atacante en el sistema afectado. “Encadenar vulnerabilidades es una táctica importante para los atacantes”, opinó Satnam Narang, investigador de seguridad de Tenable.
“Aunque Google y Microsoft ya han parchado estas vulnerabilidades, es urgente que las organizaciones garanticen que han aplicado estos parches antes de que los atacantes comiencen a explotarlos en mayor escala”, afirmó Narang.
Las demás vulnerabilidades parchadas se encontraban en varios productos de Microsoft, incluyendo Windows, Office, Office Services, Internet Explorer, Edge, Microsoft Teams, Windows Defender, ChakraCore, ExchangeServer, Microsoft Codecs Library, Azure Sphere, Microsoft Dynamics, y Visual Studio.
En total, el Martes de Parches de Noviembre 2020 presentó soluciones para 112 vulnerabilidades: 17 calificadas como “Críticas”, 93 vulnerabilidades “Importantes” y dos consideradas de riesgo “Moderado”. El sitio de noticias de informática Bleeping Computer ha elaborado una tabla que muestra cada uno de los parches abordados en el Martes de Parches de Noviembre 2020, junto con su código de identificación, nivel de gravedad y un enlace que dirige a su descripción.
Entre ellas se encuentran vulnerabilidades de Ejecución Remota de Código que afectan a Exchange Server (CVE-2020-17084), Network File System (CVE-2020-17051) y Microsoft Teams (CVE-2020-17091).
Entre las vulnerabilidades críticas se encuentran CVE-2020-17052 y CVE-2020-17053, dos vulnerabilidades de corrupción de memoria que podrían dar a los atacantes la posibilidad de ejecutar código de forma remota mediante Microsoft Scripting Engine e Internet Explorer. “Aunque ambas vulnerabilidades afectan la pila de red, se necesita la interacción del usuario para explotarlas. Un escenario posible para hacerlo sería mediante un enlace malicioso integrado en un correo phishing en el que la víctima debe pulsar para llegar a una página web con el exploit”, explicó Chris Hass, Director de Seguridad Informática e Investigación de Automox.
A pesar de que un día de actualización que sobrepasa el centenar de parches puede llamar la atención cuantitativamente, Microsoft asegura que este número se mantiene en el promedio de vulnerabilidades parchadas por mes, aunque el periodo de actualizaciones del mes pasado, en el que se abordaron 87 vulnerabilidades, puede verse particularmente bajo en comparación.
“Como la cantidad de vulnerabilidades ha vuelto a escalar sobre las 100, hay muchos parches para instalar este mes”, dijo Gill Langston, Jefe de Seguridad de SolarWinds MSP. “Recomiendo que comiencen con los servidores críticos y después con las estaciones de trabajo para abordar tanto la vulnerabilidad de día cero como la Vulnerabilidad de Ejecución Remota de Código del Sistema de Archivos de Windows Network que tiene un puntaje de 9,8 CVSS”.
“Después pueden prestar atención a los servidores Exchange y SharePoint, si es que siguen ejecutando versiones locales”, recomendó Langston. “Con estas vulnerabilidades de Exchange que se anuncian de forma regular, podrías considerar migrar a Microsoft 365 para disminuir la cantidad de sistemas a los que debes prestar atención cada mes para el Martes de Parches. Por último, asegúrate de que los programas de Office estén actualizados”.
Fuentes
Microsoft drops fix for serious zero-day among 112 Patch Tuesday updates • Computer Weekly
Microsoft November 2020 Patch Tuesday fixes 112 vulnerabilities • Bleeping Computer
Microsoft Releases Windows Security Updates For Critical Flaws • The Hacker News
Microsoft parcha 112 vulnerabilidades en su Martes de Parches