El último paquete de actualizaciones de seguridad publicado por Microsoft alcanzó un récord en cuanto a la cantidad de vulnerabilidades mitigadas en una actualización.
En el día de ayer Microsoft lanzó el paquete de actualizaciones de seguridad para sus productos-conocido como Patch Tuesday- correspondientes a junio de 2020 y llegó a las 129 vulnerabilidades mitigadas, superando a la edición de marzo de este año en la que se había parcheado la cifra más grande hasta el momento con 115 vulnerabilidades.
Del total de vulnerabilidades mitigadas, 11 fueron catalogadas como críticas y en todos los casos permiten la ejecución de código de manera remota para un atacante. El resto de los parches corresponden a vulnerabilidades catalogadas bajo el criterio de severidad como importante -más de 100- y la mayoría consiste en fallos que permiten la escalación de privilegios y ataques de spoofing.
La buena noticia es que a diferencia de otras ediciones de Patch Tuesday de este mismo año, no se lanzaron parches para vulnerabilidades zero-day.
Dentro de las vulnerabilidades críticas reportadas se destacan la CVE-2020-1213, CVE-2020-1216 y CVE-2020-1260, todas presentes en el motor de scripting VBScript y están relacionadas a la forma en que manipula los objetos en memoria.
Como adelantamos, las tres permiten la ejecución de código de manera remota y permitiría a un atacante obtener los mismos permisos que el usuario que haya iniciado sesión al momento del ataque. Esto quiere decir que si el usuario tiene permisos de administrador el atacante que logre explotar este fallo tendrá los mismos permisos, pudiendo tomar el control del sistema comprometido y realizar acciones como instalar software, ver, modificar o borrar información y hasta incluso crear nuevos accesos con los mismos permisos. Para lograr esto el atacante podría engañar a la víctima para que acceda a un sitio web bajo su control que esté diseñado para explotar la vulnerabilidad. De acuerdo con Microsoft, se trata de un fallo con probabilidades de explotación.
La CVE-2020-1223 es otra de las vulnerabilidades que se destaca. Se trata de un fallo presente en la Microsoft Word para Android que permite la ejecución remota de código. Si bien es un fallo con baja probabilidad de explotación, para lograr esto el atacante deberá lograr que la víctima abra un archivo especialmente diseñado a través de una URL.
Otra vulnerabilidad crítica reparada en la edición de junio 2020 es la CVE-2020-1219. Se trata de una vulnerabilidad de corrupción de memoria presente en los navegadores Microsoft Edge e Internet Explorer 11 y con alta probabilidad de explotación. Según explica en el detalle, este fallo presente en la forma en que los navegadores acceden a los objetos en memoria permitiría a un atacante ejecutar código de manera remota y acceder a los mismos permisos que el usuario que haya iniciado sesión en ese momento.
Vale la pena mencionar la CVE-2020-1299, otra de las vulnerabilidades críticas mitigadas y que radica en la forma en que Windows procesa los archivos .LNK. Si bien este fallo también es de baja probabilidad de explotación, para lograrlo “el atacante podrá presentar a la víctima una unidad extraíble (o vía remota) que contenga un archivo .LNK malicioso que deberá estar asociado a un binario malicioso. Cuando el usuario abra mediante alguna de estas vías el archivo .LNK se ejecutará el binario malicioso con el código elegido por el atacante en la computadora de la víctima”, explica Microsoft.
SMBleed
Un párrafo aparte para la CVE-2020-1206. Una vulnerabilidad presente en el protocolo SMBv3 que radica en la forma en que el protocolo manipula ciertas solicitudes y que permitiría a un atacante filtrar la memoria del kernel de manera remota y luego utilizar esta información para comprometer el sistema de la víctima. Denominada “SMBleed” por la compañía ZecOps, responsable del hallazgo, esta vulnerabilidad clasificada como importante presenta altas probabilidades de ser explotada según Microsoft.
Por otra parte, según explicaron los investigadores que descubrieron el fallo, en caso de ser combinada con SMBGhost (CVE-2020-0796), una vulnerabilidad que puede ser aprovechada por un malware con características de gusano también presente en el protocolo SMBv3 y que fue parcheada hace pocos meses, permitiría ejecutar código de manera remota de forma pre autenticada.
Fuente: We Live Security