Microsoft ha vuelto a alertar a los usuarios de una serie de vulnerabilidades importantes que puede poner en riesgo la seguridad. Concretamente se trata de varios errores críticos que afectan a TCP/IP. Este problema ha sido calificado como de alta gravedad, por lo que insta a todos a actualizar lo antes posible y corregirlo en todas las versiones desde Windows 7, incluyendo también las versiones de servidor. Por su parte Adobe corrige una vulnerabilidad crítica Reader explotada de forma activa - CVE-2021-21017. Un error de desbordamiento del búfer que permitiría a un sitio web malicioso realizar la ejecución remota de código en la el ordenador vulnerable.. También hay una falla de día cero en el navegador web Chrome de Google (CVE-2021-21148) que está experimentando ataques activos. Chrome descarga actualizaciones de seguridad automáticamente, pero los usuarios aún deben reiniciar el navegador para que las actualizaciones surtan efecto.
Microsoft y Adobe corrigen exploits "in-the-wild" (usados activamente)
Tradicionalmente, el segundo martes del mes es el "martes de parche" de Microsoft. Este es el día en que implementan todos los parches disponibles para su software, y sus sistemas operativos en particular.
Dado que hubo no menos de 56 parches en el número de este mes, nos centraremos en los más importantes. No es que 56 sea mucho. Hubo más de 80 en enero.
CVE de Microsoft por importancia
Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos Common Vulnerabilities and Exposures (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios). Los CVE más notables de esta actualización fueron:
- CVE-2021-1732 Vulnerabilidad de elevación de privilegios (EoP) de Windows Win32k. Este lo enumeramos primero, ya que se explota activamente en la naturaleza. Con una vulnerabilidad EoP, los atacantes pueden aumentar sus permisos de autorización más allá de los concedidos inicialmente. Por ejemplo, si un atacante obtiene acceso a un sistema pero solo tiene permisos de solo lectura, puede usar una vulnerabilidad EoP para elevarlos a "lectura y escritura", dándoles la opción de realizar cambios no deseados.
- CVE-2021-26701, una vulnerabilidad de ejecución remota de código (RCE) de .NET Core. Un ataque de ejecución remota de código (RCE) ocurre cuando un actor de amenazas accede y manipula ilegalmente una computadora o servidor sin la autorización de su propietario. Este es el único error crítico que Microsoft enumeró como conocido públicamente.
- CVE-2021-24074 una vulnerabilidad de seguridad de IPv4 relacionada con el comportamiento de enrutamiento de origen. Microsoft agrega para decir: El enrutamiento de origen IPv4 se considera inseguro y está bloqueado de forma predeterminada en Windows; sin embargo, un sistema procesará la solicitud y devolverá un mensaje ICMP denegando la solicitud.
- CVE-2021-24094 una vulnerabilidad de seguridad de IPv6 relativa al límite de reensamblaje y relacionada con el anterior. El límite de reensamblaje controla la fragmentación de IP, que es un proceso de Protocolo de Internet (IP) que divide los paquetes en fragmentos más pequeños, de modo que las piezas resultantes pueden pasar a través de un enlace con una unidad de transmisión máxima (MTU) más pequeña que el tamaño del paquete original. Los fragmentos son reensamblados por el anfitrión receptor. Aparentemente, un atacante podría interpretar paquetes que conducen a una situación en la que una gran cantidad de fragmentos podría conducir a la ejecución de código.
- CVE-2021-1721, una vulnerabilidad de denegación de servicio de .NET Core y Visual Studio. Un ataque de denegación de servicio se centra en hacer que un recurso (sitio, aplicación, servidor) no esté disponible para el propósito para el que fue diseñado.
- CVE-2021-1722 y CVE-2021-24077 son problemas de RCE del Servicio de fax de Windows. Es importante recordar que incluso si no utiliza "Fax y escáner de Windows", los Servicios de fax de Windows están habilitados de forma predeterminada.
- CVE-2021-1733 es para la vulnerabilidad PsExec Elevation of Privilege de Sysinternals. Si bien este está listado como no susceptible de ser explotado, vale la pena vigilar la herramienta en sí, porque es muy popular entre los ciberdelincuentes. Les gusta porque, como herramienta de administración legítima, normalmente no se detecta como software malicioso de forma predeterminada.
Si lo que quieres es priorizar tus actualizaciones, estas son las que te recomendamos que hagas primero. Se recomienda a todos los demás que instalen las actualizaciones lo antes posible.
Adobe Reader
Y mientras está a punto de comenzar sus ciclos de actualización, es posible que desee echar un vistazo a este de Adobe. Porque este también está siendo explotado activamente. Donde Adobe era notoriamente famoso por los errores en su Flash Player, que ahora ha llegado al final de su vida útil, ocasionalmente una vulnerabilidad en su Reader atrae algo de atención.
- CVE-2021-21017 es un defecto crítico de desbordamiento de búfer basado en montón. Heap es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de la memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
Entonces, al crear una entrada especialmente diseñada, los atacantes podrían usar esta vulnerabilidad para escribir código en una ubicación de memoria a la que normalmente no tendrían acceso. En su aviso, Adobe afirma que ha recibido un informe de que CVE-2021-21017 ha sido explotado en la naturaleza en ataques limitados dirigidos a usuarios de Adobe Reader en Windows.
Tanto Adobe Acrobat como Adobe Reader detectarán automáticamente si hay disponible una nueva versión del software. El programa buscará una nueva versión cuando inicie Acrobat o Reader como una aplicación y le pedirá que instale una nueva versión cuando esté disponible. Los administradores de TI pueden controlar la configuración de actualización mediante el Asistente de personalización de Adobe.
Windows alerta de vulnerabilidades que afectan a TCP/IP
Esta advertencia ha sido lanzada desde Windows debido a que existe un alto riesgo de ser explotadas y llevar a cabo ataques de denegación de servicios. Se trata concretamente de tres vulnerabilidades de seguridad de TCP/IP que afectan a todo tipo de equipos de Microsoft, desde la versión de Windows 7.
Todos ellos podrían ser explotables de forma remota por atacantes no autenticados. Los fallos de seguridad han sido rastreados como CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086. Dos de esas vulnerabilidades exponen los sistemas no parcheados a ataques de ejecución remota de código (RCE), mientras que el tercero permite a los atacantes llevar a cabo un ataque DoS, eliminando el dispositivo objetivo.
Según indican desde Microsoft, los exploits DoS para estas vulnerabilidades podrían permitir a un atacante remoto provocar un error de detención. Los usuarios podrían encontrarse con un pantallazo azul en cualquier sistema Windows que estuviera expuesto a Internet.
Respecto a las vulnerabilidades de ejecución remota de código indican que son complejas. Esto hace que sea más difícil crear exploits funcionales, por lo que sería poco probable que ocurriera a corto plazo.
Soluciones alternativas
No obstante, para todos aquellos usuarios que no puedan actualizar por el momento sus equipos también han lanzado algunas soluciones alternativas. Están disponibles tanto para el Protocolo de Internet Versión 4 (IPv4) como para el Protocolo de Internet Versión 6 (IPv6).
En el caso de la solución de IPv4 requiere endurecimiento contra el uso de enrutamiento de origen, normalmente no permitido en el estado predeterminado de Windows. Respecto a las soluciones provisionales de IPv6 requieren bloquear fragmentos de IPv6 que podrían afectar negativamente a los servicios con dependencias de IPv6. Muestran las instrucciones necesarias para CVE-2021-24074 y para CVE-2021-24094 y CVE-2021-24086
Más información:
https://unit42.paloaltonetworks.com/cve-2021-24074-patch-tuesday/
Fuentes:
https://www.redeszone.net/noticias/seguridad/windows-importantes-vulnerabilidades-tcp-ip/
No hay comentarios:
Publicar un comentario