Hoy es el último parche del martes de 2019 y el más ligero del año de Microsoft, con correcciones para 36 vulnerabilidades, incluida una falla de día cero de Windows que ha sido explotada en la naturaleza.
El mistake de elevación de privilegio bajo ataque activo (CVE-2019-1458) existe cuando el componente Earn32k no puede manejar correctamente los objetos en la memoria. Un atacante podría explotar esto iniciando sesión en el sistema y ejecutando una aplicación especialmente diseñada para tomar el management de un sistema. Si tiene éxito, el atacante podría instalar programas ver, cambiar o eliminar datos o crear nuevas cuentas con plenos derechos de usuario. La actualización de hoy aborda la forma en que Win32k maneja los objetos en la memoria.
Investigadores con Kaspersky Labs descubierto este día cero mientras investiga Procedure WizardOpium, que aprovecha un día cero por separado en Google Chrome (CVE-2019-13720). Aprendieron que en estos ataques, el exploit de Chrome incorpora CVE-2019-1458 para que los atacantes puedan obtener mayores privilegios en una máquina infectada mientras escapan del entorno limitado del proceso de Chrome.
El análisis del exploit de escalada de privilegios reveló que la vulnerabilidad pertenecía al controlador earn32k.sys, y funciona en las últimas versiones de Windows 7 y algunas versiones de Windows 10. Las nuevas versiones de Windows 10 no se ven afectadas porque contienen medidas para prevenir el uso typical de código explotable, explican los investigadores. Vale la pena señalar que esto también afecta a Home windows Server 2008, que, junto con Windows 7, ya no recibirá actualizaciones de seguridad después del 14 de enero.
CVE-2019-1458 puede haber sido la única vulnerabilidad bajo ataque, pero no fue el único mistake noteworthy este mes. Los parches críticos incluyeron una solución para CVE-2019-1468, una vulnerabilidad de ejecución remota de código en gráficos Acquire32k. Existe una falla cuando la biblioteca de fuentes de Home windows maneja incorrectamente las fuentes incrustadas especialmente diseñadas. Hay algunas formas de abusar de esto.
«Para explotar la falla, un atacante podría usar tácticas de ingeniería social para convencer a su víctima de visitar un sitio world-wide-web especialmente diseñado que contiene el código de explotación o incrustar el código de explotación en un documento especialmente diseñado y atraer a su víctima para que lo abra». Satnam Narang, ingeniero de investigación sénior en Tenable. La explotación exitosa podría permitir que un atacante instale programas, manipule o elimine datos, o cree nuevas cuentas con privilegios de usuario.
Cinco de las vulnerabilidades críticas parcheadas hoy son fallas de ejecución remota de código en Git para Visual Studio: CVE-2019-1349, CVE-2019-1350, CVE-2019-1352, CVE-2019-1354 y CVE-2019-1387. El séptimo mistake crítico, CVE-2019-1471, es una vulnerabilidad de ejecución remota de código de Home windows Hyper-V.
CVE-2019-1349, uno de los errores de ejecución remota de código en Git para Visible Studio, podría poner a los equipos de ingeniería en riesgo de ataques de malware, movimiento lateral, creación de cuentas falsas y robo de código de aplicación patentada, advierte Richard Melick, gerente de producto técnico senior de Automox. La vulnerabilidad existe cuando el cliente de Git for Visual Studio desinfecta incorrectamente la entrada, señala.
«Dado que Visual Studio es uno de los entornos de desarrollo más populares que se utilizan hoy en día para diseñar y construir aplicaciones, esta vulnerabilidad pone a las organizaciones de ingeniería en la primera línea de un posible ataque», dice Melick. Para explotar el error, un atacante necesitaría usar el cliente Git para descargar un repositorio malicioso en una máquina de destino. La investigación básica en línea podría informarle a un atacante sobre el uso que hace una organización de Visible Studio y los detalles de los proyectos de código abierto. A partir de ahí, un correo electrónico de suplantación de identidad bien diseñado podría permitir la entrada de un atacante en la crimson de destino.
El martes de parches de diciembre, con solo 36 vulnerabilidades solucionadas, es la actualización de seguridad más pequeña de Microsoft este año y la más ligera en mucho tiempo. El lanzamiento de noviembre abordó 74 vulnerabilidades, incluido un día cero de World wide web Explorer Octubre solucionó 59 errores. Septiembre llegó con parches para 80 vulnerabilidades, incluidas dos que habían sido explotadas previamente en la naturaleza.
Dustin Childs de la Iniciativa de Día Cero señala que un mes de diciembre ligero no es raro para Microsoft. «Si bien esta es una cantidad mucho menor de CVE en comparación con otros meses, es bastante común que Microsoft tenga un lanzamiento ligero en diciembre», explica en un entrada en el blog en las actualizaciones de hoy.
Contenido relacionado:
Kelly Sheridan es la Editora de personal de Dim Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Engineering, donde cubrió asuntos financieros … Ver biografía completa
Más suggestions
