Actualizaciones de seguridad en productos de Microsoft
16/12/200
Microsoft ha lanzado actualizaciones, en un anuncio oficial del mes de diciembre que repara un total de 58 vulnerabilidades en diferentes productos. 9 de estos fallos fueron clasificados como críticos, 46 como importantes y 3 como moderados. Asimismo, del total de vulnerabilidades reparadas 22 son de ejecución remota de código (RCE), y hasta el momento ninguno de estos fallos, conocidos públicamente, se encuentran bajo ataque activo.
Productos afectados:
- Microsoft Windows
- Microsoft Edge (Edge HTML-based)
- Microsoft Edge for Android
- ChakraCore
- Microsoft Office and Microsoft Office Services and Web Apps
- Microsoft Exchange Server
- Azure DevOps
- Microsoft Dynamics
- Visual Studio
- Azure SDK
- Azure Sphere
De los cuales, entre los productos afectados por las vulnerabilidades críticas, se encuentran Exchange Server, SharePoint, Hyper-V, Dynamics 365, y el motor de Scripting de Chakra.
A continuación de detallan las vulnerabilidades críticas:
Los CVE-2020-17117, CVE-2020-17132 (calificación de riesgo 9.1), y CVE-2020-17142 (calificación de riesgo 9.1), afectan a Microsoft Exchange y permiten a un atacante remoto con altos privilegios la ejecución remota de código.
Los CVE-2020-17121 y CVE-2020-17118 (calificación de riesgo 9.8), afectan a Microsoft Office SharePoint, permitiendo a un atacante remoto con bajos privilegios la ejecución remota de código. El error podría permitir que un usuario autenticado ejecute código .NET arbitrario en un servidor afectado en el contexto de la cuenta de servicio de la aplicación web de SharePoint.
El CVE-2020-17095 (calificación de riesgo 9.9), afecta a Hyper-V, y se trata de una vulnerabilidad de ejecución remota de código, permitiría a un atacante escalar privilegios desde la ejecución de código en un invitado de Hyper-V a la ejecución de código en el host de Hyper-V, pasando un paquete vSMB no válido datos. La falla tiene la puntuación CVSS más alta en la actualización ya que no se necesitan permisos especiales para explotarla, en caso de ser explotada.
Los CVE-2020-17158 y CVE-2020-17152 también con vulnerabilidades de ejecución remota de código, afecta a Microsoft Dynamics, posteriores a la autenticación en Microsoft Dynamics 365 for Finance and Operations (local), junto con un problema de corrupción de memoria en Chakra Scripting Engine.
El CVE-2020-17131 impacta en el navegador Microsoft Edge, debido a una corrupción de memoria en Chakra Scripting Engine, un atacante puede desencadenar una condición de corrupción de memoria, que conduce a la ejecución del código.
Otras 46 vulnerabilidades clasificadas como importantes están relacionadas con elevación de privilegios, revelación de información y bypass de elementos de seguridad incluyen 10 errores de Office que afectan a Outlook, PowerPoint y Excel.
Con la publicación de la última actualización de seguridad se han corregido todas las vulnerabilidades anunciadas. Se puede ver el detalle en: Resumen Microsoft.
Recomendaciones de seguridad
Aplicar los parches y actualizaciones de seguridad correspondientes, desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.
Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear las vulnerabilidades descritas.
Referencias
- https://msrc.microsoft.com/update-guide/releaseNote/2020-Dec
- https://msrc.microsoft.com/update-guide/en-US
- https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/10708-ccn-cert-av-79-20-vulnerabilidades-en-microsoft.html
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-diciembre-2020
- https://www.welivesecurity.com/la-es/2020/12/09/actualizacion-diciembre-microsoft-repara-nueve-vulnerabilidades-criticas/