14 jun. 2017

Actualizaciones críticas de junio de Microsoft (XP/2003 de nuevo)

Varias versiones de Windows se han actualizado a través de Windows Update con la intención de evitar que vuelva a producirse algo como lo de WannaCry. Aquella infección venía de unas vulnerabilidades encontradas por la Agencia de Seguridad Nacional de los Estados Unidos, la NSA, que se filtraron y aprovecharon con un ransomware masivo. Ahora se han filtrado más vulnerabilidades siguiendo la misma línea, y Microsoft se ha dado prisa en lanzar los correspondientes parches de seguridad.

En contra de su política de soporte técnico, Microsoft ha vuelto a tomar la iniciativa de actualizar Windows XP y otras versiones que están fuera de plazo. Son plenamente conscientes del alcance que podría tener un ataque aprovechando estas vulnerabilidades de la NSA, y de la cuota de mercado de estas versiones ya obsoletas, y una vez más han lanzado el parche de seguridad también para estas versiones. Concretamente, la actualización resuelve tres exploits de la NSA que afectarían a Windows XP, Windows Vista y Windows Server 2003 –de entre las versiones fuera del soporte técnico oficial de Microsoft-.

Microsoft soluciona 94 vulnerabilidades

Microsoft ha publicado sus habituales actualizaciones mensuales. En total este mes se han solucionado 94 vulnerabilidades, 17 de ellas críticas. Además se incluye la corrección de otras nueve vulnerabilidades en Adobe Flash Player y una actualización para Microsoft SharePoint Enterprise Server.

En esta ocasión la consulta a la Security Update Guide nos ofrece una larga lista con 1.693 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. Como ya comentamos la mejor forma de tratar de analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.

Con ello podemos establecer que se han corregido 94 vulnerabilidades junto con las nueve correspondientes al boletín APSB17-17 de Adobe. Además de una actualización para Microsoft SharePoint Enterprise Server 2013 Service Pack 1 y Microsoft SharePoint Enterprise Server 2016. Según la propia clasificación de Microsoft 17 de los problemas son críticos, 75 importantes, uno moderado y una última de gravedad baja.

La alerta de seguridad publicada ayer por Microsoft está relacionada con 10 boletines que afectan, entre otros, a los protocolos SMBv1, SMBv2, Kerberos y RDP. Nueve de ellas han sido calificadas como críticas y tienen un elevado riesgo de explotación.

Lo más destacable es la publicación de boletines de seguridad para sistemas operativos Windows que ya fueron dejados de lado por Microsoft hace algún tiempo. Estamos hablando de Windows XP y Windows Server 2003, sistemas que Microsoft ha decidido actualizar debido al peligro que suponen dos de las vulnerabilidades relacionadas, publicando un par de posts para explicar esta decisión.

La adopción de esta medida excepcional está provocada porque algunas de las vulnerabilidades solucionadas están siendo aprovechadas por atacantes para propagar amenazas. Estas vulnerabilidades están relacionadas con algunas de las herramientas filtradas de la NSA como ENGLISHMANDENTIST (que tiene a Outlook como objetivo), EXPLODINGCAN (que apunta a IIS 6.0) Y ESTEEMAUDIT (con el protocolo RDP en el punto de mira).

De esta forma, los exploits dejan de funcionar en los equipos actualizados aunque sean sistemas que terminaron su ciclo de vida útil hace tiempo. Esto no significa que aquellos usuarios o empresas que los siguen usando deban considerar urgentemente en actualizar a otros más modernos puesto que existen muchas otras vulnerabilidades para las que no hay ni habrá solución.

Vulnerabilidades

Las vulnerabilidades críticas a las que se hace referencia en la guía de seguridad de Windows son las siguientes:
  • CVE-2017-0176: Vulnerabilidad que permite la ejecución remota de código en servidor RDP provocada por la habilitación de la autenticación Smart Card. Permite al atacante instalar programas, borrar datos o crear nuevas cuentas con todos los privilegios de usuario.
  • CVE-2017-0222: Vulnerabilidad que posibilita la ejecución remota de código mediante la explotación del acceso a objetos en memoria de Internet Explorer. Permite obtener los mismos privilegios que el usuario que, en caso de tener privilegios de administrador, podría tomar el control por completo del equipo.
  • CVE-2017-0267 y CVE-2017-0280: Vulnerabilidades que permiten la ejecución remota de código en caso de que un atacante envíe un formato de petición específico a un servidor SMBv1.
  • CVE-2017-7269: Vulnerabilidad que proporciona la posibilidad de llevar a cabo una ejecución remota de código mediante la explotación del manejo de objetos en memoria de WebDAV. Permite obtener los mismos privilegios que el usuario que, en caso de tener privilegios de administrador, podría tomar el control por completo del equipo.
  • CVE-2017-8461: Vulnerabilidad que permite la ejecución remota de código en RPC si el servidor tiene activado el routing y el acceso remoto. Permite instalar programas; ver, cambiar o eliminar datos o crear nuevas cuentas.
  • CVE-2017-8464: Vulnerabilidad que permite la ejecución remota de código si un icono de acceso directo tiene unas características específicas. Permite obtener los mismos privilegios que el usuario que, en caso de tener privilegios de administrador, podría tomar el control por completo del equipo.
  • CVE-2017-8487: Vulnerabilidad que permite la ejecución remota de código cuando un archivo OLE falla al validar la entrada de usuario. Posibilita al atacante ejecutar código malicioso.
  • CVE-2017-8543: Vulnerabilidad que permite la ejecución remota de código mediante la explotación del manejo de objetos en memoria de Windows Search. Autoriza al atacante a instalar programas, borrar datos o crear nuevas cuentas con todos los privilegios de usuario.
Además de estas vulnerabilidades, Microsoft hace también referencia a los parches de seguridad críticos MS08-067, MS09-050, MS10-061, MS14-068, MS17-010, MS17-013, ya mencionadas en anteriores notificaciones.

Fuente: Technet | Microsoft | Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!