Microsoft corrige 111 vulnerabilidades para Patch Tuesday


Esto marca el tercer mes consecutivo en que Microsoft parcheó más de 100 errores, de los cuales 16 se clasifican como críticos.

Microsoft lanzó hoy correcciones para 111 vulnerabilidades como parte de su lanzamiento mensual de Patch Tuesday. Dieciséis de estos defectos se clasifican como críticos y 95 se clasifican como importantes.

Este mes marca la tercera actualización más grande de Patch Tuesday en la historia de Microsoft, ZDNet notas. La compañía corrigió 115 errores en marzo de 2020, su mayor lanzamiento hasta la fecha, y 113 en abril. Existen vulnerabilidades parcheadas este mes en Windows, el navegador Edge, ChakraCore, Net Explorer, Microsoft Office, Business office Products and services y aplicaciones web, Visual Studio, Microsoft Dynamics, .Internet Framework, .Internet Main y Electricity BI. Ninguno se conoce públicamente o está bajo ataque.

Si bien la ausencia de vulnerabilidades conocidas y días cero les da a los gerentes de TI algo de tiempo para probar los parches antes de que se implementen, el tamaño de los últimos lanzamientos de Patch Tuesday de Microsoft podría ser una carga. El cambio worldwide al trabajo remoto, impulsado por la pandemia de coronavirus, ha exacerbado muchos desafíos de administración de parches existentes y ha creado otros nuevos para los equipos de TI.

Entre las vulnerabilidades serias parcheadas este mes están CVE-2020-1023, CVE-2020-1102y CVE-2020-1024, todos los defectos críticos de ejecución remota de código (RCE) en Microsoft SharePoint. Esto podría permitir a los atacantes acceder a un sistema ver, editar o eliminar datos o ejecute directamente código malicioso en el sistema. Un intruso podría tener acceso a datos confidenciales almacenados en el servidor SQL de la organización y obtener una plataforma para realizar actividades maliciosas contra dispositivos en el entorno.

«Los sistemas como SharePoint a menudo pueden ser difíciles de desconectar y parchar, permitiendo que las vulnerabilidades de RCE permanezcan en su infraestructura», explica Jay Goodman, gerente de marketing and advertising de productos de Automox. «Esto les da a los atacantes la capacidad de &#39vivir de la tierra&#39 y moverse lateralmente fácilmente una vez que se obtiene acceso a través de un exploit existente».

También vale la pena señalar son CVE-2020-1117, una vulnerabilidad RCE en Microsoft Color Management y CVE-2020-1126, una vulnerabilidad de corrupción de memoria de Media Foundation. Ambos se clasifican como críticos, y ambos podrían explotarse engañando a un usuario para que abra un archivo adjunto malicioso o visite un sitio website que contenga el código de explotación. Si tiene éxito, un atacante podría lograr los mismos derechos que el usuario comprometido y realizar acciones con los permisos del usuario.

«Si el usuario tiene privilegios administrativos, el atacante podría realizar una variedad de acciones, como instalar programas, crear una nueva cuenta con todos los derechos de usuario y ver, cambiar o eliminar datos», dice Satnam Narang, ingeniero de investigación del private de Sostenible. «Sin embargo, Microsoft califica estas vulnerabilidades como &#39Explotación menos possible&#39, de acuerdo con su Índice de explotabilidad».

La mayoría de los defectos críticos parcheados hoy se resuelven a través del sistema operativo y las actualizaciones del navegador sin embargo, hay una serie de CVE importantes con mayor probabilidad de explotación. Estos incluyen un par de vulnerabilidades de elevación de privilegios en Win32k (CVE-2020-1054 y CVE-2020-1143) y otro en el componente de gráficos de Home windows (CVE-2020-1135) Todos estos están calificados como explotación más possible por Microsoft. Un atacante que obtiene acceso a un sistema de destino podría explotar cualquiera de estos defectos para ejecutar código con privilegios elevados, explica Narang.

Este reconocimiento subraya un punto importante: las vulnerabilidades con niveles de gravedad más bajos no son necesariamente menos susceptibles de ser explotadas. Si la priorización de una empresa se detiene en una determinada gravedad, o las puntuaciones CVSS por encima de un cierto nivel, podría fallar defectos que un atacante probablemente utilizará.

«Lo que es interesante y que a menudo se pasa por alto es que siete de los 10 CVE con mayor riesgo de explotación solo se consideran importantes», señala Todd Schell, gerente senior de productos de Ivanti. «No es raro considerar las vulnerabilidades críticas como las más preocupantes, pero muchas de las vulnerabilidades que terminan siendo explotadas se clasifican como importantes frente a críticas». Las métricas de riesgo como Divulgación pública, Explotación y Evaluación de explotabilidad de Microsoft también deben tenerse en cuenta en parches prioritarios.

CVE-2020-1058 y CVE-2020-1060 Son ambos ejemplos. Si bien ninguno de los dos está calificado como crítico en gravedad, es posible que los atacantes los usen en la naturaleza. Ambas son fallas de RCE en VBScript y están clasificadas como importantes. Microsoft considera ambos «Explotación más probable». Si se explotan, estas fallas podrían permitir que un atacante obtenga los mismos derechos que el usuario true. La versatilidad de VBScript se presta a una variedad de vectores de ataque, dice Chris Hass, director de seguridad de la información e investigación con Automox.

«Un atacante podría alojar una página world wide web maliciosa con una carga útil especialmente diseñada para explotar a cualquier usuario que visite la página usando IE, inyectar código en una página net comprometida o incluso lanzar una campaña de publicidad maliciosa para servir la carga útil a través de anuncios maliciosos en sitios internet populares», dice Hass . Alguien también podría incrustar un objeto de management Active X en una aplicación o archivo de Place of work, que podría aprovecharse en una campaña de phishing para obtener la ejecución del código en una máquina de destino.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de own de Darkish Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policies & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia original