Microsoft Defender Zero-Day solucionado en el primer parche …



Microsoft corrigió 83 errores, incluido un defecto de día cero de Microsoft Defender y un defecto de elevación de privilegios públicamente conocido.

Microsoft lanzó parches para 83 vulnerabilidades en su primer martes de parches de 2021, que corrige 10 fallas críticas, incluido un error de ejecución remota de código de día cero en Microsoft Defender.

Las correcciones publicadas hoy cubren Microsoft Windows, el navegador Edge, ChakraCore, Office y Microsoft Office Services y Web Apps, Microsoft Malware Protection Engine, Visual Studio, ASP .NET, .NET Core y Azure. De estos, 73 se clasifican como Importantes; uno es de conocimiento público.

Si bien 83 CVE (vulnerabilidades y exposiciones comunes) es mucho más bajo que los números récord de parches mensuales que Microsoft informó el año pasado, es un 59% más alto que los 49 parcheados en enero de 2020. "Si eso es una indicación, significa que 2021 será otro año excepcional para Revelaciones de vulnerabilidades del martes de parches ", dice Satnam Narang, ingeniero de investigación de personal de Tenable.

CVE-2021-1647 es el error crítico en el motor de protección contra malware de Microsoft que ya se ha visto en la naturaleza. Microsoft no da más detalles sobre estos ataques o cuán generalizados están. Dice que hay disponible un código de prueba de concepto, aunque el código o la técnica pueden no funcionar en todas las situaciones.

Esta vulnerabilidad no afecta la pila de la red, y un atacante podría obtener acceso de forma remota a través de SSH, localmente accediendo a la propia máquina o engañando al usuario para que realice una acción que desencadenaría el error, como abrir un archivo malicioso. No se requiere la interacción del usuario.

La complejidad del ataque es baja, lo que significa que los atacantes no requerirían condiciones de acceso especializadas para explotar la falla, y pueden esperar un éxito repetible contra el componente vulnerable, dice Microsoft en su divulgación. También requiere privilegios bajos: un atacante necesitaría privilegios que brinden capacidades de usuario básicas, que normalmente solo afectan la configuración y los archivos propiedad del usuario.

"Teniendo en cuenta la prevalencia de Microsoft Defender, esta falla proporciona a los atacantes una gran superficie de ataque", dice Narang.

Las noticias del día cero y el parche llegan semanas después de que Microsoft confirmara que su red estaba entre las miles afectadas por las actualizaciones del software SolarWinds infectadas, y admitió que los atacantes estaban capaz de ver su código fuente. Si bien no hay detalles de los ataques que aprovechan este día cero, Dustin Childs de Trend Micro's Zero-Day Initiative (ZDI) reconoce la posibilidad de que este parche esté relacionado con el compromiso.

Para muchas organizaciones, es posible que CVE-2021-1647 ya esté parcheado. Microsoft actualiza a menudo las definiciones de malware y Microsoft Malware Protection Engine. La configuración predeterminada tanto para empresas como para particulares garantiza que ambos se actualicen automáticamente, dice la compañía. Aquellos cuyos sistemas no estén conectados a Internet deberán aplicar manualmente la corrección.

"Para las organizaciones que están configuradas para la actualización automática, no se deberían requerir acciones, pero una de las primeras acciones que un actor de amenazas o malware intentará intentar es interrumpir la protección contra amenazas en un sistema para bloquear las actualizaciones de definición y motor", dice Chris. Goettl, director senior de gestión de productos y seguridad de Ivanti.

Aconseja a los equipos de seguridad que se aseguren de que su motor de protección contra malware de Microsoft sea de la versión 1.1.17700.4 o superior.

La ZDI divulgada públicamente CVE-2021-1648, una falla importante de elevación de privilegios en el host del controlador de impresión splwow64, después de que excediera su propia línea de tiempo de divulgación. Este parche también fue descubierto por investigadores de Google Project Zero y corrige una falla introducida en un parche anterior. Como el día cero parcheado este mes, esta vulnerabilidad tiene una baja complejidad de ataque, pocos privilegios requeridos y no requiere la interacción del usuario para su explotación, informa Microsoft.

"El CVE anterior estaba siendo explotado en la naturaleza, por lo que es razonable pensar que este CVE también será explotado activamente", escribe Childs de Trend Micro.

Aparte de CVE-2021-1647, los errores críticos restantes son todas vulnerabilidades de ejecución de código remoto. Cinco afectan el tiempo de ejecución de la llamada a procedimiento remoto (RPC), incluido CVE-2021-1660, que tiene una puntuación CVSS de 8.8 y está vinculado a la pila de red. Microsoft dice que esto se puede aprovechar mediante un ataque de baja complejidad y no requiere privilegios ni interacción del usuario.

Vale la pena señalar que Microsoft también parcheó cuatro vulnerabilidades de RPC adicionales que están clasificadas como importantes pero tienen la misma puntuación y descriptores de CVSS que las fallas críticas. Microsoft ahora ofrece menos detalles en las descripciones de los parches y no está claro por qué algunos de estos defectos se clasifican como críticos y otros como importantes.

Los errores críticos de este mes afectan principalmente al sistema operativo, el navegador y la protección contra malware, señala Goettl. Insta a las empresas a que también presten atención a las actualizaciones importantes, algunas de las cuales abordan errores en las herramientas de desarrollo. "Sus equipos de desarrollo deben saber qué herramientas están utilizando y qué vulnerabilidades pueden estar expuestas", explica.

Kelly Sheridan es la editora de personal de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original