Microsoft corrige 83 errores de seguridad en su primer Patch Tuesday del 2021

13 Enero 2021
Crítico

 

En las actualizaciones de este mes, la compañía con sede en Redmond ha parcheado un total de 83 vulnerabilidades en una amplia gama de productos que incluye correcciones para Microsoft Windows, Microsoft Edge (basado en EdgeHTML), Microsoft Office, Microsoft Office Services and Web Apps, Microsoft Windows Codecs Library, Visual Studio, SQL Server, Microsoft Malware Protection Engine, NET Core, NET Repository, ASP NET y Azure.

De los 83 parches lanzados, 10 se clasifican como críticos y 73 se clasifican como importantes.

Vulnerabilidades críticas

Día cero de Microsoft Defender

Una de las vulnerabilidades más importantes en este Path Day, es la rastreada como CVE-2021-1647. Dicha vulnerabilidad se describió como un error de ejecución remota de código (RCE) en el antivirus Microsoft defender y según declaraciones de Microsoft esta fue explotada antes de la publicación de estos parches en enero 2021.

Microsoft declaró que “a pesar de que la explotación se ha evidenciado en la red global, la técnica no es funcional en todas las situaciones y aún se considera que está a un nivel de prueba de concepto. Sin embargo, el código podría evolucionar para ataques más confiables”.

Microsoft lanzó una lista de parches para Microsoft Malware Protection Engine, el cual no necesita de ninguna interacción con el usuario ya que esta se instala de manera automática, a excepción de que administradores del sistema lo bloqueen.

Las versiones afectadas de Microsoft Malware Protection Engine van desde 1.1.17600.5 a 1.1.17700.4 que se ejecutan en Windows 10, Windows 7 y versiones 2004/20H2 de Windows Server, según el boletín de seguridad.

Microsoft también corrige el error de EOP de Windows divulgado públicamente

Una falla de seguridad ha sido solucionada por el equipo de Microsoft que involucra al servicio SPLWOW64 de Windows, el cual podrían utilizar para elevar los privilegios del código de un atacante.

A pesar de que están de manera pública los detalles del error, rastreado como CVE-2021-1648, desde el 15 de diciembre pasado este no ha sido explotado, según palabras de Microsoft.

Otros errores adicionales calificados como críticos incluyen a:

  • Error de ejecución de código remoto en el navegador web Edge de Microsoft. La vulnerabilidad identificada como CVE-2021-1705 está relacionada con la memoria y a la forma en que el navegador accede incorrectamente a los objetos en la memoria.
  • Se vincularon errores críticos adicionales a la interfaz de dispositivo de gráficos de Windows (CVE-2021-1665), las extensiones de video HEVC (CVE-2020-1643) y el decodificador de video Microsoft DTV-DVD (CVE-2020-1668).
  • Cinco fallas clasificadas como errores de llamada de procedimiento remoto (CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667 y CVE-2021-1673). Como sugiere el nombre, la vulnerabilidad existe en el proceso de autenticación de llamada a procedimiento remoto de Windows.

Otros problemas abordados por Microsoft este mes 

Es importante recalcar que, aunque una vulnerabilidad no sea clasificada como “crítica” no le resta importancia al impacto y gravedad que esta puede producir en los dispositivos de las víctimas.

Este es el caso del CVE-2021-1725 Vulnerabilidad de divulgación de información de Bot Framework SDK, que a pesar de no ser clasificada como “crítica” es catalogada como “problemática” al igual que CVE-2021-1709 que es una falla de “elevación de privilegios” en Windows 8 a 10 y Windows server 2008 a 2019 que es a menudo rápidamente aprovechada por los atacantes. 

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información. 

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Patch #Parche #Tuesday #Vulnerabilidad #Windows
  • Productos Afectados
  • Producto Versión
    Productos Microsoft Microsoft Windows
    Microsoft Edge (basado en EdgeHTML)
    Microsoft Office y Microsoft Office Services and Web Apps
    Microsoft Windows Codecs Library
    Visual Studio
    SQL Server
    Microsoft Malware Protection Engine
    .NET Core
    . NET Repository
    ASP .NET y Azure
    Microsoft Windows 8
    8.1 (32 y 64 bits)
    10 (32 y 64 bits)
    Microsoft Windows Server 2012
    2012 R2
    2016
    2019


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.