Microsoft Patch Tuesday: corrige 123 vulnerabilidades en julio

Microsoft ha parcheado 123 CVE en el lanzamiento del martes de parches de julio de 2020. Las actualizaciones de este mes incluyen parches para Microsoft Windows, Microsoft Edge, Microsoft ChakraCore, Internet Explorer, Microsoft Office y Microsoft Office Services and Web Apps, Windows Defender, Skype for Business, Visual Studio, Microsoft OneDrive, Open Source Software, .NET Framework y Azure DevOps.

Por quinto mes consecutivo, Microsoft ha parcheado más de 100 CVE, de estas vulnerabilidades, 18 se clasifican como críticas y 105 se clasifican como importantes. Incluyendo una vulnerabilidad muy crítica de ejecución remota de código (RCE) en el Servidor DNS de Windows (CVE-2020-1350).

CVE-2020-1350 Vulnerabilidad de ejecución remota de código en el servidor DNS de Windows (SIGRed)

Una vulnerabilidad RCE dentro del servidor del Sistema de nombres de dominio de Windows (DNS) debido a un problema en la forma en que el servidor DNS analiza las solicitudes. La vulnerabilidad tiene una puntuación de 10.0 CVSSv3, la calificación más alta posible. La falla ha existido durante 17 años, afectando las versiones de Windows Server de 2003 a 2019, y fue descubierta por Sagi Tzadik y Eyal Itkin de Check Point Research, quienes denominaron esta vulnerabilidad "SIGRed". Microsoft reconoce que esta vulnerabilidad es "wormable", o potencialmente propagable a través de malware entre los hosts afectados en una red sin interacción del usuario.

DNS es un componente de red central y cualquier compromiso de un servidor DNS podría tener un impacto severo dentro de una organización. Esta vulnerabilidad recibió un parche para Windows Server 2008, que finalizó en enero de 2020, lo que subraya la gravedad de este problema. Microsoft recomienda parchear esta vulnerabilidad lo antes posible y ofrece una solución para aquellos que no pueden parchear de inmediato.

La solución alternativa, descrita en KB4569509, funciona estableciendo la longitud máxima de un mensaje DNS a través de TCP en 62,580 bytes (0xFF00): esto evita que un servidor DNS de Windows resuelva nombres de host cuando la respuesta DNS de un servidor ascendente excede este umbral máximo.

Hemos abordado esta vulnerabilidad en un boletín exclusivo en siguiente link:

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/620/ 

Vulnerabilidad de ejecución remota de código de vGPU de Hyper-V RemoteFX

CVE-2020-1032, CVE-2020-1036, CVE-2020-1040, CVE-2020-1041, CVE-2020-1042, CVE-2020-1043 

Vulnerabilidades RCE en Hyper-V RemoteFX vGPU debido a que el servidor host no valida correctamente la entrada de los sistemas operativos invitados. Si un atacante ejecuta código malicioso en un sistema operativo invitado, podría atacar controladores de video de terceros en el host Hyper-V, lo que podría provocar que el sistema operativo host ejecute código malicioso.

Los parches relacionados no corrigen esta vulnerabilidad. En cambio, estos parches deshabilitan RemoteFX, un conjunto de mejoras visuales proporcionado por Microsoft para mejorar la calidad de video de las sesiones RDP. Sin RemoteFX, las tareas de visualización visual durante las sesiones RDP probablemente serán manejadas por la CPU del host, en lugar de la GPU en el servidor 2012 y hosts anteriores. 

Microsoft Server 2016 y versiones posteriores tienen Asignación discreta de dispositivos (DDA) que maneja estas tareas, ya que RemoteFX fue desaprobado en Windows Server 2019.

Vulnerabilidad de ejecución remota de código de Jet Database Engine

CVE-2020-1400, CVE-2020-1401 y CVE-2020-1407

Vulnerabilidades RCE que existen cuando Windows Jet Database Engine maneja incorrectamente los objetos en la memoria. La explotación exitosa de estas vulnerabilidades permitiría a un atacante ejecutar código arbitrario en un sistema afectado. Para aprovechar esta vulnerabilidad, un atacante debe convencer a una víctima para que abra un archivo especialmente diseñado o visite un sitio web malicioso.

Vulnerabilidad de ejecución remota de código de cliente de escritorio remoto

CVE-2020-1374

Vulnerabilidad RCE en el Cliente de escritorio remoto de Windows causada por un código malicioso que se ejecuta en un servidor remoto. Cuando un cliente se conecta a un servidor infectado, se vuelve susceptible a un ataque RCE. Un atacante necesitaría comprometer un servidor de confianza o utilizar algún otro método, como un ataque de estilo Man in the Middle (MitM), para interceptar los intentos RDP de un usuario y redirigirlos a un servidor malicioso.

Vulnerabilidad de ejecución remota de código de la extensión ESLint de Visual Studio Code

CVE-2020-1481

Vulnerabilidad RCE que existe en la extensión ESLint para Visual Studio Code cuando valida el código fuente después de abrir un proyecto. La explotación exitosa de esta vulnerabilidad permitiría a un atacante ejecutar código arbitrario en el contexto del usuario actual, con los mismos derechos y permisos.

La explotación de esta vulnerabilidad requeriría que un atacante convenza a una víctima de clonar un repositorio que contiene código ejecutable malicioso y abrirlo con una versión vulnerable de Visual Studio Code. Si el objetivo es un usuario administrador, el código podría configurarse para crear cuentas con derechos y permisos de administrador, instalar programas maliciosos y ver, alterar o eliminar datos.

Vulnerabilidad de elevación de privilegios en componentes gráficos de Windows

CVE-2020-1381 y CVE-2020-1382

Vulnerabilidades de elevación de privilegios que existen cuando el componente gráfico de Windows trata incorrectamente los objetos en la memoria. La explotación exitosa de estas vulnerabilidades permitiría a un atacante ejecutar procesos en un contexto elevado. La explotación de estas vulnerabilidades requeriría que un atacante inicie sesión en un sistema vulnerable y ejecute una aplicación especialmente diseñada para tomar el control del sistema.

Vulnerabilidad de ejecución remota de código en VBScript

CVE-2020-1403

Vulnerabilidad RCE en el mal manejo de objetos de memoria en el motor VBScript. Un atacante tendría que convencer a un usuario para que ejecute código malicioso, ya sea mediante phishing o convenciendo a un usuario para que visite un sitio web malicioso, donde el usuario descargará y ejecutará un archivo creado. Una vez que el usuario ejecuta el código malicioso, los comandos pueden ejecutarse contra el host local como el usuario actual.

Se recomienda lo siguiente:

• Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte: https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información.