13 abr. 2017

Microsoft soluciona 44 vulnerabilidades incluido grave 0-day en Word

Este mes Microsoft nos ha dejado sin los ya clásicos boletines a los que nos tenía acostumbrados todos los meses desde 1998. Ahora lo ha reemplazado por la Security Update Guide. Un infierno de lista en la que es imposible encontrar información de forma sencilla sobre las vulnerabilidades corregidas.

Nos habíamos acostumbrado a los clásicos boletines de seguridad, con el ya conocido formato de numeración MSXX-YYY. Un formato en el que era relativamente sencillo encontrar las vulnerabilidades que afectaban a cada producto, los CVE, la descripción de cada problema, correcciones, y hasta quien había encontrado cada problema. Pero todo eso ya forma parte de la historia.
Según la publicación del Microsoft Security Response Center simplemente hay que activar las actualizaciones automáticas y no preocuparnos por nada más.

No es fácil encontrar información útil entre 650 entradas

Si consultamos la Security Update Guide la firma de Redmond nos ofrece una larga lista con 650 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. A partir de ahí, después podemos establecer que solamente corresponden a 46 entradas en la base de conocimientos. Entradas que hay que revisar una a una para poder tener algún alcance de todo lo que se ha corregido. Desde luego, algo que no facilita el trabajo a los técnicos de seguridad. Quizás sí a los usuarios finales que solo necesitan instalar las actualizaciones que les corresponden, pero no a los investigadores, especialistas o administradores que deben mantener sistemas y conocer las vulnerabilidades que pueden afectarles.
La lista de productos afectados es:
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office y Microsoft Office Services y Web Apps
  • Visual Studio para Mac
  • .NET Framework
  • Silverlight
  • Adobe Flash Player
En total, se han corregido 44 vulnerabilidades y 7 adicionales correspondientes al reproductor Adobe Flash Player (incluidas en el boletín APSB17-10 de Adobe). Según la propia clasificación de Microsoft 13 de los problemas son críticos, 29 importantes y 2 de importancia moderada.
La recomendación para analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.

Si pasamos a analizar las vulnerabilidades cabe destacar la corrección de una grave vulnerabilidad 0-day en Office y WordPad, con CVE-2017-0199, que está siendo explotada de forma activa en la actualidad. Este problema, descubierto por los investigadores de McAfee, afecta a todas las versiones de Office, incluyendo la última Office 2016 en Windows 10 totalmente actualizado. Basta con abrir un documento específicamente creado con alguna versión afecta y el atacante puede lograr la ejecución de código arbitrario. El exploit detectado se conecta a un servidor remoto, descarga un archivo que contiene una aplicación html y la ejecuta como archivo hta. Como los .hta son ejecutables el atacante consigue la ejecución de código total en el sistema de la víctima.

También es reseñable la corrección de una vulnerabilidad de hace 4 años, del 2013. Con CVE-2013-6629, un problema de obtención de información sensible en la librería de tratamiento de imágenes libjpeg. Un atacante podría obtener información que le permitiría evitar la protección Address Space Layout Randomization (ASLR). Problema que era conocido y fue corregido por otros fabricantes hace años.

Otras actualizaciones se desglosan en:
  • Actualización acumulativa para Microsoft .net Framework, que corrige una vulnerabilidad de ejecución remota de código considerada crítica (CVE-2017-0160)
  • Actualización acumulativa para Microsoft Windows Hyper-V, que soluciona 13 vulnerabilidades que podrían permitir la ejecución remota de código, provocar condiciones de denegación de servicio o de obtención de información sensible
  • Actualización acumulativa para Internet Microsoft Explorer, considerada crítica y que evita cuatro vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0202, CVE-2017-0201, CVE-2017-0158 y CVE-2017-0210).
  • Actualización acumulativa para Microsoft Edge, que soluciona cinco vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0205, CVE-2017-0093, CVE-2017-0200, CVE-2017-0208 y CVE-2017-0203)
  • Actualización acumulativa para Microsoft Office destinada a corregir siete vulnerabilidades, las más graves podrían permitir la ejecución de código arbitrario al abrir un documento Office específicamente creado, incluido el 0 day descrito anteriormente.
  • También se han solucionado vulnerabilidades en Microsoft Windows Graphics, Microsoft Windows Active Directory y en los propios sistemas Windows.
Nos tendremos que acostumbrar a este nuevo formato. Que además, por supuesto, no ofrece ninguna posibilidad de información en español. Y confiar en que otros fabricantes no copien este nuevo modelo de Microsoft.

Fuente:Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!