Microsoft parchea 4 Windows 0 días bajo explotación activa

Un hombre mira la pantalla de inicio para
Agrandar / / Un hombre mira la pantalla de inicio de la “nueva” plataforma de Windows 7 cuando se lanzó en octubre de 2009. Microsoft ha finalizado el soporte, pero el sistema operativo sigue vivo.

Microsoft ha parcheado cuatro vulnerabilidades explotadas activamente que permiten a los atacantes ejecutar código malicioso o elevar los privilegios del sistema en dispositivos que ejecutan Windows.

Dos de los defectos de seguridad, rastreados como CVE-2020-1020 y CVE-2020-0938: En la biblioteca Adobe Type Manager, un archivo DLL de Windows que utilizan una amplia variedad de aplicaciones para administrar y representar las fuentes disponibles de Adobe Systems. En sistemas operativos compatibles que no sean Windows 10, los atacantes que explotan con éxito las vulnerabilidades pueden ejecutar código de forma remota. En Windows 10, los atacantes pueden ejecutar código dentro de un sandbox de AppContainer. La medida limita los privilegios del sistema que tiene el código malicioso, pero incluso entonces, los atacantes pueden usarlo para crear cuentas con todos los derechos de usuario, instalar programas y ver, cambiar o eliminar datos.

Los atacantes pueden explotar las fallas al convencer a un objetivo para que abra un documento atrapado o verlo en el panel de vista previa de Windows. Las advertencias del martes dijeron que Microsoft “conoce los ataques limitados y dirigidos que intentan aprovechar” ambas vulnerabilidades. Microsoft reveló el mes pasado que uno de los errores estaba siendo explotado en ataques limitados contra máquinas con Windows 7.

Si bien la instalación de los parches recientemente disponibles es la mejor manera de proteger los sistemas vulnerables, las soluciones temporales para aquellos que necesitan comprar más tiempo incluyen:

  • Deshabilitar el Panel de vista previa y el Panel de detalles en el Explorador de Windows
  • Deshabilitar el servicio WebClient
  • Cambie el nombre de ATMFD.DLL (en sistemas Windows 10 que tienen un archivo con ese nombre) o, alternativamente, desactive el archivo del registro

Estas son las mismas mitigaciones que Microsoft recomendó en su aviso de marzo. Una vez que se instalan los parches, los usuarios pueden revertir las mitigaciones.

Pero espera hay mas

Un tercer exploit de día cero está en contra CVE-2020-0674, una vulnerabilidad de ejecución remota de código en la forma en que un motor de secuencias de comandos de Windows maneja objetos en memoria para Internet Explorer. Microsoft evaluó la gravedad de la vulnerabilidad como crítica en todas las versiones compatibles de Windows, excepto en Windows 10, Windows Server 2019 y Windows Server 2016, donde la vulnerabilidad se califica como moderada.

“En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado que está diseñado para explotar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web”, escribió Microsoft en el aviso del martes. “Un atacante también podría incrustar un control ActiveX marcado” seguro para la inicialización “en una aplicación o documento de Microsoft Office que aloja el motor de representación de IE. El atacante también podría aprovechar sitios web comprometidos y sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían contener contenido especialmente diseñado que podría aprovechar la vulnerabilidad “.

Una solución provisional provisional es restringir el acceso al archivo JScript.dll.

Los últimos objetivos de explotación de día cero CVE-2020-1027, una falla de elevación de privilegios en la forma en que el núcleo de Windows maneja los objetos en la memoria. Los atacantes que ya tienen derechos de sistema limitados en una máquina vulnerable pueden usar el exploit para ejecutar código malicioso. Para aprovechar la vulnerabilidad, un atacante autenticado localmente podría ejecutar una aplicación especialmente diseñada.

Microsoft no proporcionó ningún detalle sobre los ataques que están en curso contra los dos últimos defectos.

El grupo de análisis de amenazas obtiene crédito

El fabricante de software acreditó el descubrimiento de tres de los cuatro exploits de día cero exclusivamente a Google grupo de análisis de amenazas, que rastrea los ataques de piratería respaldados por el gobierno contra los usuarios de la compañía. El crédito por el descubrimiento de CVE-2020-0674 fue otorgado conjuntamente al grupo de Google y a los investigadores de Qihoo 360.

El grupo de análisis de amenazas de Google informó los ataques contra las fallas de Adobe Type Manager el 23 de marzo y, según la política de divulgación de la empresa para los errores explotados activamente, le dio a Microsoft siete días para corregir o revelar la falla. Google más tarde le dio a Microsoft una extensión para acomodar las ralentizaciones laborales causadas por la nueva pandemia de coronavirus. Los miembros del grupo planean emitir un informe que detalle los defectos de Adobe en el próximo mes más o menos. No está claro cuándo el grupo de análisis de amenazas proporcionará detalles sobre las otras dos vulnerabilidades.

Por lo general, los dispositivos de Windows en la configuración del hogar y la oficina más pequeña reciben parches automáticamente en 24 horas. Siempre es una buena idea asegurarse de que las actualizaciones estén instaladas dentro de ese plazo. Los administradores de organizaciones más grandes se enfrentan a la tarea a veces difícil de probar parches antes de implementarlos para garantizar que sean compatibles con los sistemas que ya existen. Es probable que esa tarea sea más difícil este mes, con las interrupciones laborales causadas por las infecciones por COVID-19 que arrasan el mundo.

Related Stories