Nivel de criticidad: CRÍTICO
Con el lanzamiento del Boletín de Seguridad de Microsoft correspondiente al mes de mayo, este ha solucionado 111 vulnerabilidades, 13 de las cuales han sido calificadas como críticas, 91 como importantes, 3 de ellas como moderadas y, las 4 restantes como bajas. Cabe destacar que en este mes de mayo no constan vulnerabilidades 0day, o sin parchear. A continuación, se detallan las vulnerabilidades más destacadas de este boletín de Microsoft:
Se han detectado tres vulnerabilidades críticas en el navegador Microsoft Edge que podrían permitir a un atacante realizar ejecución remota de código engañando a un usuario para que visite un sitio web creado con fines malintencionados:
- CVE-2020-1056 - Vulnerabilidad de elevación de privilegios en Microsoft Edge
- CVE-2020-1059 - Vulnerabilidad de suplantación de identidad de Microsoft Edge
- CVE-2020-1096: Vulnerabilidad de ejecución remota de código PDF en Microsoft Edge
Si se explotan, estas vulnerabilidades podrían permitir al atacante ejecutar comandos en un equipo objetivo con todos los derechos de usuario.
Existe otra vulnerabilidad crítica en el módulo de administración de color (Microsoft Color Management - ICM32.dll) que también permite a un atacante realizar ejecución remota de código engañando a un usuario para que visite un sitio web dañino.
A continuación, se describen brevemente las 13 vulnerabilidades a las que Microsoft ha asignado un nivel de criticidad crítico:
|
CVE |
Parche |
Descripción |
|
Vulnerabilidad de elevación de privilegios cuando Microsoft Edge no aplica adecuadamente las políticas entre dominios, lo que podría permitir a un atacante acceder a la información de un dominio e inyectarla en otro dominio. |
||
|
Vulnerabilidad de ejecución remota de código en la forma en que Microsoft Graphics Components trata los objetos en la memoria. Un atacante que aprovechara con éxito la vulnerabilidad podría ejecutar código arbitrario en un sistema de destino. Para aprovechar la vulnerabilidad, un usuario tendría que abrir un archivo especialmente diseñado. |
||
|
Vulnerabilidad de ejecución remota de código en la forma en que Color Management Module (ICM32.dll) trata los objetos en la memoria. Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control del sistema afectado, instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos. |
||
|
Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server cuando no puede identificar y filtrar adecuadamente los controles web ASP.Net inseguros. Un atacante autenticado que explotara con éxito la vulnerabilidad podría usar una página especialmente diseñada para realizar acciones en el contexto de seguridad del proceso del grupo de aplicaciones de SharePoint. Para aprovechar la vulnerabilidad, un usuario autenticado debe crear e invocar una página especialmente diseñada en una versión afectada de Microsoft SharePoint Server. |
||
|
Vulnerabilidad de ejecución remota de código en Microsoft SharePoint cuando el software no puede verificar el marcado de origen de un paquete de aplicación. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint y la cuenta del conjunto de servidores de SharePoint. La explotación de esta vulnerabilidad requiere que un usuario cargue un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada de SharePoint. |
||
|
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos ChakraCore maneja los objetos en la memoria. La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos de Chakra maneja los objetos en memoria en Microsoft Edge (basado en HTML). La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. |
||
|
Vulnerabilidad de corrupción de memoria cuando Windows Media Foundation trata incorrectamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o convencer a un usuario para que visite una página web dañina. |
||
|
Vulnerabilidad de ejecución remota de código en Visual Studio Code cuando la extensión Python carga la configuración del espacio de trabajo desde un archivo de notebook. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante podría tomar el control del sistema afectado, instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Para aprovechar esta vulnerabilidad, un atacante necesitaría convencer a un objetivo para que abra un archivo especialmente diseñado en Visual Studio Code con la extensión Python instalada. |
Recursos afectados:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based)
- ChakraCore
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- Windows Defender
- Visual Studio
- Microsoft Dynamics
- .NET Framework
- .NET Core
- Power BI
Solución a las vulnerabilidades:
Con la publicación de la última actualización de seguridad, Microsoft ha corregido todas estas vulnerabilidades. Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación. Se recomienda aplicar estos parches a la mayor brevedad posible.
Recomendaciones:
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
El boletín de Microsoft de este mes de mayo no incluye ninguna vulnerabilidad 0day, o sin parchear, ni se ha reportado la explotación activa de ninguna de ellas a día de hoy, por lo que no se han hecho públicas posibles medidas de mitigación en caso de no ser posible aplicar las actualizaciones descritas.
Referencias:
