Microsoft parchea 6 días cero bajo ataque activo



El martes de parches de junio de 2021 corrige 50 vulnerabilidades, seis de las cuales están bajo ataque y tres de las cuales se conocían públicamente en el momento de la divulgación.

Microsoft implementó hoy parches para 50 vulnerabilidades, incluidos seis días cero bajo ataque activo, informa la compañía.

Cincuenta es un número relativamente pequeño para los lanzamientos de seguridad mensuales de Microsoft (la mayoría de sus lanzamientos de 2020 excedieron los 100), pero este martes de parches tiene un gran impacto. Los CVE que se abordaron afectan a Microsoft Home windows, Office, navegador Edge, SharePoint Server, .Web Core y Visible Studio, Hyper-V, Visual Studio Code – Kubernetes Resources, Windows HTML Platform y Windows Distant Desktop.

Las seis fallas que se explotan en la naturaleza incluyen un error de ejecución de código remoto, una vulnerabilidad de divulgación de información y cuatro fallas de elevación de privilegios. Uno de ellos se clasifica como crítico los otros cinco se clasifican como Importantes. Se conocían públicamente dos días cero en el momento de la divulgación una vulnerabilidad parcheada hoy se conoce públicamente pero no está bajo ataque.

Día cero crítico CVE-2021-33742, un error de ejecución remota de código en la plataforma Windows MSHTML, tiene un puntaje CVSS de 7.5 y era de conocimiento público en el momento en que fue parcheado. Los atacantes podrían aprovechar esto con éxito y ejecutar código en un sistema objetivo si pueden convencer a la víctima para que vea contenido world-wide-web especialmente diseñado. Microsoft señala que un ataque requiere cierta interacción del usuario, aunque un atacante no requiere acceso a archivos o configuraciones para tener éxito.

«Dado que la vulnerabilidad está en el motor Trident (MSHTML) en sí, muchas aplicaciones diferentes se ven afectadas, no solo Web Explorer», escribe Dustin Childs de Zero-Day Initiative en un entrada en el blog. «No está claro qué tan generalizados están los ataques activos, pero considerando que la vulnerabilidad afecta a todas las versiones compatibles de Windows, esto debería estar en la parte exceptional de su lista de prueba e implementación».

Microsoft le da crédito a Clément Lecigne del Grupo de Análisis de Amenazas de Google por descubrir la falla.

CVE-2021-33739, otro día cero conocido públicamente, se considera importante con una puntuación CVSS de 8,4. Esta es una vulnerabilidad de elevación de privilegios en la biblioteca principal DWM de Microsoft que requiere una complejidad de ataque baja, sin privilegios y sin interacción del usuario para explotarla con éxito.

«Lo más probable es que el atacante se encargue de ejecutar un ejecutable o un script en la computadora local», escribe Microsoft en la divulgación. Hay muchas formas en que podrían hacer esto, dice por ejemplo, un ataque de phishing en el que la víctima hace clic en un archivo ejecutable adjunto a un correo electrónico. Microsoft acredita a Jinquan (@ jq0904) con DBAPPSecurity Lieying Lab el descubrimiento de la vulnerabilidad.

Boris Larin (oct0xor) de Kaspersky Lab encontró dos de los días cero parcheados hoy, CVE-2021-31955 y CVE-2021-31956, y los utilizó como parte de una cadena de exploits, junto con un día cero de Chrome, en ataques activos observados del 14 al 15 de abril que dicen los investigadores fueron «muy específicos».

CVE-2021-31955 es una vulnerabilidad de divulgación de información en el kernel de Windows con una puntuación CVSS de 5,5. La explotación de esto revisaría la baja complejidad, los bajos privilegios y la ausencia de interacción del usuario, informa Microsoft. Si tiene éxito, un atacante podría acceder al contenido de la memoria del kernel desde un proceso en modo de usuario.

El otro defecto utilizado en esta cadena, CVE-2021-31956, es una vulnerabilidad de elevación de privilegios en Windows NTFS con una puntuación CVSS de 7,8. De manera very similar, esto también requiere baja complejidad, pocos privilegios y ninguna interacción del usuario para explotar.

Hay un par de caminos que un atacante podría tomar con este, dice Microsoft: primero podrían iniciar sesión en el sistema de destino a partir de ahí, podrían ejecutar una aplicación especialmente diseñada para aprovechar la falla y tomar el command. Alternativamente, podrían usar un correo electrónico o mensaje instantáneo para convencer a un usuario local de que abra un archivo malicioso.

CVE-2021-31199 y CVE-2021-31201, los dos últimos días cero explotados este mes, son vulnerabilidades de elevación de privilegios en el proveedor criptográfico mejorado de Microsoft. Ambos tienen una puntuación CVSS de 5,2 y se clasifican como importantes, con baja complejidad de ataque, pocos privilegios y no se requiere interacción del usuario para un exploit. Ambas vulnerabilidades están relacionadas con Adobe CVE-2021-28550, un día cero que afecta a Home windows y macOS parcheado el mes pasado.

«Es común ver la escalada de privilegios junto con errores de ejecución de código, y parece que estas dos vulnerabilidades fueron la parte de escalada de privilegios de esos exploits», escribe Childs, aunque señala que es «un poco inusual» ver una brecha entre los parches para diferentes partes de un ataque activo.

CVE-2021-31968, una vulnerabilidad de denegación de servicio (DoS) en los Servicios de escritorio remoto de Home windows, se conoce públicamente pero no se ve explotada en la naturaleza. Este es uno de los cinco errores de DoS corregidos este mes otros, que no se conocían anteriormente, existen en Microsoft Defender, .Web Main y Visible Studio, Server para NFS y Windows Hyper-V.

Kelly Sheridan es la editora de own de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first