Cuatro vulnerabilidades zero-day afectarían a Microsoft Windows

27 Mayo 2020
Alto

Como es costumbre, Microsoft realiza actualizaciones de seguridad todos los segundos martes de cada mes, parcheando sus sistemas y plataformas. Sin embargo, pocos días después de la actualización de seguridad del mes de mayo, junto a Microsoft, el organismo Zero Day Initiative (ZDI) de Trend Micro ha informado públicamente de algunas vulnerabilidades 0-day que afectarían a los sistemas operativos del magnate informático.

Una vulnerabilidad de día cero es aquella que el proveedor no parchea por desconocimiento de su existencia, dejando una ventana de oportunidad para aquellos entes maliciosos que quisieran explotarla. 

La mala noticia es que el 19 de mayo se divulgaron 4 de estas vulnerabilidades, las cuales aún no tiene parches, y que tres de ellas impactarían directamente un archivo central del sistema de Windows nombrado “splwow64.exe”.

splwow64, es un host de controlador de impresora para aplicaciones de 32 bits. El ejecutable Spooler Windows OS (Windows 64 bits) permite que las aplicaciones de 32 bits sean compatibles con un sistema Windows de 64 bits. Se han definido tres CVE que afectarían a este archivo, cuyos impactos han sido clasificados como gravedad alta según el estándar CVSSv3:

  • CVE-2020-0915
  • CVE-2020-0916
  • CVE-2020-0986

Estas vulnerabilidades podrían permitir a un atacante escalar privilegios en un sistema Windows. Dado que el atacante debe obtener en primer lugar la capacidad de ejecutar código de bajo privilegio en el destino, la calificación de estas vulnerabilidades no ha sido de severidad crítica. Recientemente, Microsoft ha informado que los parches para estas tres vulnerabilidades serán liberados en junio de 2020.

ZDI-20-666

La última de las vulnerabilidades de día cero divulgada públicamente por ZDI no tiene un número CVE, solo un ZDI. Ésta, es otra vulnerabilidad de escalada de privilegios, pero esta vez dentro del manejo de los perfiles de conexión WLAN. 

Un atacante tendría que crear un perfil malicioso que luego le permitiría revelar credenciales para esa cuenta de computadora, que luego se puede aprovechar en una explotación. Aunque ZDI también lo calificó como alto, no se determinó que esta vulnerabilidad fuera lo suficientemente grave como para que Microsoft la corrigiera en la versión actual, por lo que cerró el caso sin proporcionar un parche.

El Centro de Ciberinteligencia recomienda lo siguiente:

  • Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación relevante es restringir la interacción con el servicio. Solo los clientes y servidores que tengan una relación procesal legítima con el servicio debe permitirse comunicarse con él.

El listado de las CVE se adjunta a continuación:


Tags: #RCE #Vulnerabilidad #Microsoft #ZeroDay #0day #ZDI #TrendMicro


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.