Nivel de Criticidad: CRÍTICO
En su boletín, Microsoft incluye 117 vulnerabilidades corregidas, de las cuales 25 han sido catalogadas como críticas. En su totalidad, las 25 vulnerabilidades críticas permiten la ejecución remota de código por parte de un posible atacante, lo que tendría un impacto importante en sistemas no actualizados y consecuencias del tipo elevación de privilegios e incluso conseguir el control total de un sistema al que no se le hayan aplicado las actualizaciones y parches ya publicados por Microsoft, que solucionan todas las vulnerabilidades detalladas en su boletín de marzo del 2020.
Por el momento no existen reportes ni evidencias de la explotación activa que aproveche alguno de estos errores por parte de ciberdelincuentes, no obstante, una de las vulnerabilidades corregidas está teniendo una repercusión muy importante (vulnerabilidad en el protocolo de comunicación SMBv3 de Microsoft) de la que sí se han publicado pruebas de concepto recreadas en escenarios reales.
En la siguiente tabla se detallan los 25 CVEs catalogados como críticos por Microsoft, especificando el producto concreto afectado, enlace a la actualización o parche, y una breve descripción de la vulnerabilidad. Mencionar que la mayoría de estas 25 vulnerabilidades críticas están ubicadas en los motores de scripting, VBScript y Chakra:
|
Producto |
Parche |
CVE |
Descripción |
|
Windows 10 Version 1903 for 32-bit Systems |
Vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes. Un atacante podría obtener la capacidad de ejecutar código en el servidor o cliente de destino. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
Vulnerabilidad de ejecución remota de código en Microsoft Windows que podría permitir la ejecución remota de código si se procesa un archivo .LNK. Un atacante que aprovechara esta vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario local. |
||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en los navegadores Microsoft. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
Vulnerabilidad de corrupción de memoria cuando Windows Media Foundation trata incorrectamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos ChakraCore maneja los objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. |
||
|
ChakraCore |
|||
|
Microsoft SharePoint Server 2019 |
Security Update |
Vulnerabilidad de ejecución remota de código en Microsoft Word cuando no puede manejar correctamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría usar un archivo especialmente diseñado para realizar acciones en el contexto de seguridad del usuario actual. Por ejemplo, el archivo podría tomar acciones en nombre del usuario conectado con los mismos permisos que el usuario actual. |
|
|
Microsoft Dynamics NAV 2018 |
Vulnerabilidad de ejecución remota de código en Microsoft Dynamics Business Central. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar comandos de shell arbitrarios en el servidor de la víctima. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
Vulnerabilidad de corrupción de memoria cuando Windows Media Foundation trata incorrectamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
|||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos de Chakra maneja los objetos en memoria en Microsoft Edge (basado en HTML) L. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
ChakraCore |
|||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos ChakraCore maneja los objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. |
||
|
ChakraCore |
|||
|
ChakraCore |
|||
|
ChakraCore |
|||
|
ChakraCore |
|||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en los navegadores Microsoft. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos. |
||
|
ChakraCore |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos ChakraCore maneja los objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
Vulnerabilidad de corrupción de memoria cuando Windows Media Foundation trata incorrectamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
Vulnerabilidad de ejecución remota de código en la forma en que la Interfaz de dispositivo gráfico de Windows (GDI) maneja los objetos en la memoria. Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control del sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos. |
||
|
Windows 10 Version 1803 for 32-bit Systems |
|||
|
Microsoft Edge (EdgeHTML-based) |
Vulnerabilidad de ejecución remota de código cuando Microsoft Edge accede incorrectamente a objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que permita a un atacante ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Internet Explorer 11 |
Vulnerabilidad de ejecución remota de código cuando Internet Explorer accede incorrectamente a objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, el atacante podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Internet Explorer 11 |
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
Recursos afectados
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based)
- ChakraCore
- Internet Explorer
- Microsoft Exchange Server
- Microsoft Office and Microsoft Office Services and Web Apps
- Azure DevOps
- Windows Defender
- Visual Studio
- Open Source Software
- Azure
- Microsoft Dynamics
Solución a la vulnerabilidad
A continuación, se indican los enlaces donde es posible localizar y descargar todas las actualizaciones para los productos Microsoft publicadas este mes de marzo, incluyendo las 25 catalogadas como críticas y las 92 restantes con criticidades inferiores:
- March 2020 Security Updates:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar
- Security Update Guide:
https://portal.msrc.microsoft.com/en-us/security-guidance
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
En este caso se recomienda aplicar todas las actualizaciones publicadas por Microsoft en cuanto sea posible. Hay que tener en cuenta que algunas de las correcciones corresponden a vulnerabilidades que están teniendo una alta repercusión y de las que se conocen pruebas de concepto disponibles de forma abierta. Por lo tanto, es previsible que a corto plazo puedan producirse intentos de explotación en sistemas no actualizados debidamente.
Referencias
- March 2020 Security Updates: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar
- Security Update Guide: https://portal.msrc.microsoft.com/en-us/security-guidance
