Parche Martes, edición de noviembre de 2020: Krebs sobre seguridad


Adobe y Microsoft cada uno emitió un grupo de actualizaciones hoy para tapar los agujeros de seguridad críticos en su software program. El lanzamiento de Microsoft incluye correcciones para 112 fallas separadas, incluida una vulnerabilidad de día cero que ya está siendo explotada para atacar a los usuarios de Home windows. Microsoft también está recibiendo críticas por cambiar sus advertencias de seguridad y limitar la cantidad de información divulgada sobre cada mistake.

Unos 17 de los 112 problemas solucionados en el lote de parches de hoy involucran problemas «críticos» en Home windows, o aquellos que pueden ser explotados por malware o descontentos para tomar el manage remoto completo de una computadora Windows vulnerable sin la ayuda de los usuarios.

A la mayoría del resto se le asignó la calificación de «importante», que en el lenguaje de Redmond se refiere a una vulnerabilidad cuya explotación podría «comprometer la confidencialidad, integridad o disponibilidad de los datos del usuario, o la integridad o disponibilidad de los recursos de procesamiento».

Una preocupación principal entre todas estas actualizaciones de este mes es CVE-2020-17087, que es un mistake «importante» en el kernel de Windows que ya está experimentando una explotación activa. CVE-2020-17087 no está catalogado como crítico porque es lo que se conoce como una falla de escalada de privilegios que permitiría a un atacante que ya ha comprometido una cuenta de usuario menos poderosa en un sistema para obtener handle administrativo. En esencia, tendría que estar encadenado con otro exploit.

Desafortunadamente, esto es exactamente lo que los investigadores de Google describieron haber presenciado recientemente. El 20 de octubre Google lanzó una actualización para su Cromo navegador que solucionó un mistakeCVE-2020-15999) que se utilizó junto con CVE-2020-17087 para comprometer a los usuarios de Windows.

Si echas un vistazo al aviso que Microsoft lanzó hoy para CVE-2020-17087 (o cualquier otro del lote de hoy), es posible que notes que se ven un poco más escasos. Eso se debe a que Microsoft ha optado por reestructurar esos avisos en torno al Sistema de puntuación de vulnerabilidad común (CVSS) para alinear más estrechamente el formato de los avisos con el de otros proveedores importantes de computer software.

Pero al hacerlo, Microsoft también ha eliminado información útil, como la descripción que explica en términos generales el alcance de la vulnerabilidad, cómo se puede explotar y cuál podría ser el resultado de la explotación. Microsoft explicó su razonamiento detrás de este cambio en una publicación de site.

No todo el mundo está contento con el nuevo formato. Bob Huber, director de seguridad en Sostenible, elogió a Microsoft por adoptar un estándar de la industria, pero dijo que la compañía debería considerar que las personas que revisan las versiones de Patch Tuesday no son profesionales de la seguridad, sino contrapartes de TI responsables de aplicar las actualizaciones que a menudo no pueden (y no deberían tener que hacerlo). ) descifrar datos CVSS sin procesar.

“Con este nuevo formato, los usuarios finales están completamente ciegos sobre cómo un CVE en specific los impacta”, dijo Huber. “Es más, esto hace que sea casi imposible determinar la urgencia de un parche determinado. Es difícil comprender los beneficios para los usuarios finales. Sin embargo, no es demasiado difícil ver cómo este nuevo formato beneficia a los malos actores. Realizarán ingeniería inversa de los parches y, si Microsoft no es explícito sobre los detalles de las vulnerabilidades, la ventaja es para los atacantes, no para los defensores. Sin el contexto adecuado para estos CVE, se vuelve cada vez más difícil para los defensores priorizar sus esfuerzos de remediación «.

Dustin Childs con Trend MicroS Iniciativa día cero También está desconcertado por la falta de detalles incluidos en los avisos de Microsoft vinculados a otras dos fallas solucionadas hoy, incluida una en Microsoft Trade Server (CVE-2020-16875) y CVE-2020-17051, que es una debilidad de aspecto aterrador en el Sistema de archivos de crimson de Windows (NFS).

El problema de Exchange, dijo Childs, fue reportado por el ganador del Concurso de búsqueda de errores Pwn2Possess Miami.

“Sin detalles proporcionados por Microsoft, solo podemos asumir que este es el desvío de CVE-2020-16875 que había mencionado anteriormente”, dijo Childs. “Es muy possible que pronto publique los detalles de estos errores. Microsoft califica esto como importante, pero yo lo trataría como crítico, especialmente porque a las personas les resulta difícil parchear Trade «.

Del mismo modo, con CVE-2020-17051, hubo una notable falta de detalles para el mistake que obtuvo una puntuación CVSS de 9,8 (10 es el más peligroso).

“Sin una descripción desde la que trabajar, necesitamos confiar en CVSS para proporcionar pistas sobre el riesgo actual del error”, dijo Childs. «Teniendo en cuenta que esto está listado como sin interacción del usuario con baja complejidad de ataque, y considerando que NFS es un servicio de crimson, debe tratarlo como un problema hasta que sepamos lo contrario».

Por separado, Adobe lanzó hoy actualizaciones para tapar al menos 14 agujeros de seguridad en Adobe Acrobat y Reader. Los detalles sobre esas correcciones están disponibles aquí. No hay actualizaciones de seguridad para Flash Participant de Adobe, que Adobe ha dicho que se retirará a finales de año. Microsoft, que ha incluido versiones de Flash con sus navegadores net, dice que planea enviar una actualización en diciembre que eliminará Flash de las Computer system con Home windows, y el mes pasado creó la herramienta de eliminación. disponible para descarga.

Los usuarios de Home windows 10 deben saber que el sistema operativo descargará actualizaciones y las instalará según su propio horario, cerrando los programas activos y reiniciando el sistema. Si desea asegurarse de que Windows se haya configurado para pausar la actualización para poder hacer una copia de seguridad de sus archivos y / o sistema, consulte esta guía.

Pero haga una copia de seguridad de su sistema antes de aplicar cualquiera de estas actualizaciones. Home windows 10 incluso tiene algunas herramientas integradas para ayudarlo a hacer eso, ya sea por archivo / carpeta o haciendo una copia completa y de arranque de su disco duro de una vez.

Como siempre, si experimenta fallas o problemas al instalar cualquiera de estos parches este mes, considere dejar un comentario al respecto a continuación Existe una probabilidad mayor que la de que otros lectores hayan experimentado lo mismo y puedan intervenir aquí con algunos consejos útiles.


Etiquetas: Bob Huber, CVE-2020-15999, CVE-2020-16875, CVE-2020-17051, CVE-2020-17087, Dustin Childs, Microsoft Trade Server, Tenable, craze micro, Sistema de archivos de purple de Home windows, Iniciativa de día cero

Esta entrada se publicó el martes 10 de noviembre de 2020 a las 8:56 p.m. y está archivada en Herramientas de seguridad, Hora de parchear.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic