Patch Tuesday de marzo corrige dos Zero Day

Microsoft acaba de lanzar un nuevo Patch Tuesday que soluciona 64 fallos en Windows, Internet Explorer, Edge, Office, SharePoint, ChakraCore, Skype for Business y Visual Studio NuGet. 17 de ellos están calificados como críticos; 45, como importantes; 1 moderado y 1 bajo.

Microsoft advirtió que ninguna de las 4 vulnerabilidades importantes reparadas alcanzaron a ser explotadas, pero sí lo fueron 2 Zero Day en Windows, debido a un fallo en el componente Win32k, que permitía a los atacantes escalar privilegios, ejecutar código remoto (RCE) y tomar el control total de equipos. Uno afecta a Windows 7 y el otro a Windows 10, 8.1, Server 2012, 2016 y 2019.

Ambos Zero Day fueron descubiertos por los investigadores Vasily Berdnikov y Boris Larin de Kaspersky Labs, quienes revelaron que los actores detrás de los ataques eran varios, incluidos FruityArmor y SandCat.

Con respecto a los fallos críticos, éstos son de RCE y se encuentran principalmente en Scripting Engine, VBScript Engine, DHCP Client e IE. También permiten escalar privilegios, la fuga de información y ataques de denegación de servicio (DoS).

Por su parte, Adobe también lanzó actualizaciones para corregir dos vulnerabilidades críticas de RCE en Photoshop CC y EN Digital Editions.

Se recomienda aplicar los parches de Microsoft lo antes posible. Para instalar las actualizaciones  se debe seguir la siguiente ruta: Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones

En el caso de Windows 10, éste desinstala automáticamente las actualizaciones anteriores con problemas, por lo que al actualizar en este sistema, puede aparecer el aviso "Eliminamos algunas actualizaciones instaladas recientemente para recuperar su dispositivo de un fallo de inicio".

En cuanto a Adobe, los usuarios que utilicen Photoshop CC y EN Digital Editions, tanto en Windows como en macOS, deben actualizar los softwares a sus últimas versiones.