Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Vulnerabilidades/Microsoft soluciona 44 vulnerabilidades incluido grave 0-day en Word

Microsoft soluciona 44 vulnerabilidades incluido grave 0-day en Word

Por Deja un comentario

Y Microsoft cumplió su “amenaza“. Este mes nos ha dejado sin los ya clásicos boletines a los que nos tenía acostumbrados todos los meses desde 1998. Ahora lo ha reemplazado por la Security Update Guide. Un infierno de lista en la que es imposible encontrar información de forma sencilla sobre las vulnerabilidades corregidas.

Nos habíamos acostumbrado a los clásicos boletines de seguridad, con el ya conocido formato de numeración MSXX-YYY. Un formato en el que era relativamente sencillo encontrar las vulnerabilidades que afectaban a cada producto, los CVE, la descripción de cada problema, correcciones, y hasta quien había encontrado cada problema. Pero todo eso ya forma parte de la historia.

Según la publicacióndel Microsoft Security Response Center simplemente hay que activar las actualizaciones automáticas y no preocuparnos por nada más.

Today we released security updates to provide additional protections against malicious attackers. As a best practice, we encourage customers to turn on automatic updates.

No es fácil encontrar información útil entre 650 entradas

Si consultamos la Security Update Guide la firma de Redmond nos ofrece una larga lista con 650 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. A partir de ahí, después podemos establecer que solamente corresponden a 46 entradas en la base de conocimientos. Entradas que hay que revisar una a una para poder tener algún alcance de todo lo que se ha corregido. Desde luego, algo que no facilita el trabajo a los técnicos de seguridad. Quizás sí a los usuarios finales que solo necesitan instalar las actualizaciones que les corresponden, pero no a los investigadores, especialistas o administradores que deben mantener sistemas y conocer las vulnerabilidades que pueden afectarles.

La lista de productos afectados es:
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office y Microsoft Office Services y Web Apps
  • Visual Studio para Mac
  • .NET Framework
  • Silverlight
  • Adobe Flash Player
En total, se han corregido 44 vulnerabilidades y 7 adicionalescorrespondientes al reproductor Adobe Flash Player (incluidas en el boletín APSB17-10de Adobe). Según la propia clasificación de Microsoft 13 de los problemas son críticos, 29 importantes y 2 de importancia moderada.
La recomendación para analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.
Si pasamos a analizar las vulnerabilidades cabe destacar la corrección de una grave vulnerabilidad 0-day en Office y WordPad, con CVE-2017-0199, que está siendo explotada de forma activa en la actualidad. Este problema, descubiertopor los investigadores de McAfee, afecta a todas las versiones de Office, incluyendo la última Office 2016 en Windows 10 totalmente actualizado. Basta con abrir un documento específicamente creado con alguna versión afecta y el atacante puede lograr la ejecución de código arbitrario. El exploit detectado se conecta a un servidor remoto, descarga un archivo que contiene una aplicación html y la ejecuta como archivo hta. Como los .hta son ejecutables el atacante consigue la ejecución de código total en el sistema de la víctima.
También es reseñable la corrección de una vulnerabilidad de hace 4 años, del 2013. Con CVE-2013-6629, un problema de obtención de información sensible en la librería de tratamiento de imágenes libjpeg. Un atacante podría obtener información que le permitiría evitar la protección Address Space Layout Randomization (ASLR). Problema que era conocido y fue corregidopor otros fabricanteshace años.
Otras actualizaciones se desglosan en:
  • Actualización acumulativa para Microsoft .net Framework, que corrige una vulnerabilidad de ejecución remota de código considerada crítica (CVE-2017-0160) 
  • Actualización acumulativa para Microsoft Windows Hyper-V, que soluciona 13 vulnerabilidades que podrían permitir la ejecución remota de código, provocar condiciones de denegación de servicio o de obtención de información sensible
  • Actualización acumulativa para Internet Microsoft Explorer, considerada crítica y que evita cuatro vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0202, CVE-2017-0201, CVE-2017-0158y CVE-2017-0210).
  • Actualización acumulativa para Microsoft Edge, que soluciona cinco vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0205, CVE-2017-0093, CVE-2017-0200, CVE-2017-0208y CVE-2017-0203)
  • Actualización acumulativa para Microsoft Office destinada a corregir siete vulnerabilidades, las más graves podrían permitir la ejecución de código arbitrario al abrir un documento Office específicamente creado, incluido el 0 day descrito anteriormente.
  • También se han solucionado vulnerabilidades en Microsoft Windows Graphics, Microsoft Windows Active Directory y en los propios sistemas Windows.
Nos tendremos que acostumbrar a este nuevo formato. Que además, por supuesto, no ofrece ninguna posibilidad de información en español. Y confiar en que otros fabricantes no copien este nuevo modelo de Microsoft.
Más información:
April 2017 Security Updates
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99
Critical Office Zero-Day Attacks Detected in the Wild
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
April 2017 security update release
https://blogs.technet.microsoft.com/msrc/2017/04/11/april-2017-security-update-release/
CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler
https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
una-al-dia (14/11/2013) Actualización de seguridad para Google Chrome
http://unaaldia.hispasec.com/2013/11/actualizacion-de-seguridad-para-google.html
una-al-dia (10/03/2014) La actualización 7.1 de Apple iOS soluciona más de 40 vulnerabilidades
http://unaaldia.hispasec.com/2014/03/la-actualizacion-71-de-apple-ios.html
Microsoft Patch Tuesday – April 2017
https://www.symantec.com/connect/blogs/microsoft-patch-tuesday-april-2017
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.