Cabecera-v2-web.jpg

Actualizaciones de seguridad en Windows, abordan vulnerabilidades críticas, importantes y Zero Days


Recientemente Microsoft ha lanzado actualizaciones de seguridad para sus sistemas operativos Windows, las mismas abordan un total de 113 vulnerabilidades, del total, 94 han sido catalogadas como importantes y 19 como críticas de las cuales 3 son Zero-Days, informadas en el boletín de seguridad el mes pasado, donde hemos alertado sobre dichas vulnerabilidades. En el último boletín de actualizaciones de seguridad, Microsoft menciona haber abordado las mismas.

Esta actualización además aborda vulnerabilidades en otros productos de Microsoft.

De estas 113 vulnerabilidades, a continuación se listan algunas catalogadas como importantes o críticas: Escalada de privilegios en OneDrive identificada como CVE-2020-0935, vulnerabilidad en Jet Database de Office identificada como CVE-2020-0995 y ejecuciones de código remoto en Microsoft Office (CVE-2020-0991 ,CVE-2020-0984).

Los sistemas operativos Windows que se ven afectados por las vulnerabilidades Zero-Day vulnerabilidades son:

  • Windows 10, en todas las versiones;
  • Windows 8.1, en arquitecturas de 32 y 64 bits;
  • Windows RT 8.1;
  • Windows 7 Service pack 1, en arquitecturas de 32 y 64 bits;
  • Windows Server 2008 Service pack 2, Server Core installation, en sus arquitecturas de 32 y 64 bits;
  • Windows Server 2012 y Server Core installation;
  • Windows Server 2012 R2 y Server Core installation;
  • Windows Server 2016 y Server Core installation;
  • Windows Server 2019 y Server Core installation.

Productos de Microsoft que se ven afectado por otras vulnerabilidades críticas e importantes:

  • Microsoft Edge (EdgeHTML- based)
  • Microsoft Edge (Chromium- based)
  • ChakraCore
  • Internet Explorer
  • Microsoft Office, Microsoft Office Services y Web Apps
  • Windows Defender
  • Visual Studio
  • Microsoft Dynamics
  • Microsoft Apps para Android
  • Microsoft Apps para iOS

A continuación, se describen las vulnerabilidades Zero-Days que fueron abordadas en esta actualización de seguridad:

El CVE-2020-1020 y CVE-2020-0938, se dan debido a que la biblioteca Adobe Type Manager (atmfd.dll) procesa de manera insegura ciertos tipos de fuentes en formato Adobe Type 1 PostScript, lo que permitirían a un atacante ejecutar código malicioso en el contexto del usuario actual. La Biblioteca Adobe Type Manager de Windows, permite el análisis de fuentes que no solo analiza el contenido cuando se abre con un software de terceros, sino que también lo utiliza el Explorador de Windows para mostrar el contenido de un archivo en el "Panel de vista previa" o el "Panel de detalles" sin que los usuarios lo abran, por lo que la explotación de esta vulnerabilidad se puede dar de varias maneras, por ejemplo un atacante podría convencer a un usuario para que abra un documento especialmente diseñado, o lo vea en el "Panel de vista previa" de Windows.

Por otro lado el CVE-2020-1027, se da en el kernel de Windows y de debido a la forma en que este maneja los objetos en memoria. La explotación exitosa de esta vulnerabilidad permitiría a un atacante que se encuentre autenticado con mínimos privilegios, ejecutar código con privilegios elevados.

Recomendaciones:

  • Aplicar el parche de seguridad correspondiente a cada sistema operativo, el mismo lo puede descargar desde la página oficial de Microsoft.
  • En caso de no ser posible la actualización del sistema, con la aplicación de estas medidas se podrá mitigar las vulnerabilidades identificadas como CVE-2020-1020 y CVE-2020-0938 :
    1. Deshabilite el Panel de vista previa y el Panel de detalles en el Explorador de Windows:

a. Para deshabilitar estos paneles en Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 y Windows 8.1, realice los siguientes pasos:

      • Abra el Explorador de Windows, haga clic en Organizar y luego en Diseño.
      • Desactive las opciones de menú del Panel de detalles y del Panel vista previa.
      • Haga clic en Organizar y luego en Carpeta y opciones de búsqueda.
      • Haga clic en la pestaña Ver.
      • En Configuración avanzada, marque la casilla Mostrar siempre iconos, nunca miniaturas.
      • Cierre todas las instancias abiertas del Explorador de Windows para que el cambio surja efecto.

b. Para Windows Server 2016, Windows 10 y Windows Server 2019, realice los siguientes pasos:

      • Abra el Explorador de Windows, haga clic en la pestaña Ver
      • Desactive las opciones de menú del Panel de detalles y del Panel vista previa
      • Haga clic en Opciones y luego en Cambiar carpeta y opciones de búsqueda
      • Haga clic en la pestaña Ver.
      • En Configuración avanzada, marque la casilla Mostrar siempre iconos, nunca miniaturas.
      • Cierre todas las instancias abiertas del Explorador de Windows para que el cambio surja efecto.

2. Deshabilitar el servicio WebClient, para ello realice los siguientes pasos:

      • Haga clic en Inicio, y busque Ejecutar (o presione la tecla de Windows + R), escriba Services.msc y luego haga clic en Aceptar.
      • Haga clic con el botón derecho en el servicio WebClient y seleccione Propiedades
      • Cambie el tipo de Inicio a Deshabilitado. Si el servicio se está ejecutando, haga clic en Detener antes de deshabilitar.
      • Haga clic en Aceptar y salga de la aplicación de administración.

3. Renombrar o deshabilitar ATMFD.DLL, para ello ingrese los siguientes comandos en el símbolo del sistema (CMD) con permisos administrativos:

1. Para sistemas de 32 bits:

        • cd "%windir%\system32"
        • takeown.exe /f atmfd.dll
        • icacls.exe atmfd.dll /save atmfd.dll.acl
        • icacls.exe atmfd.dll /grant Administrators:(F)
        • rename atmfd.dll x-atmfd.dll
        • Reinicie su equipo.

2. Para sistemas de 64 bits:

        • cd "%windir%\system32"
        • takeown.exe /f atmfd.dll
        • icacls.exe atmfd.dll /save atmfd.dll.ac
        • icacls.exe atmfd.dll /grant Administrators:(F)
        • rename atmfd.dll x-atmfd.dll
        • cd "%windir%\syswow64"
        • takeown.exe /f atmfd.dll
        • icacls.exe atmfd.dll /save atmfd.dll.acl
        • icacls.exe atmfd.dll /grant Administrators:(F)
        • rename atmfd.dll x-atmfd.dll
        • Reinicie su equipo.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11