Nivel de Criticidad: Alto
Microsoft ha tenido que anticiparse a la publicación del boletín mensual, que estará disponible a partir del segundo martes de octubre, debido a la detección de dos vulnerabilidades ZeroDay, de una de las cuales se tiene conocimiento de su explotación activa.
Por el momento, la base de datos del NIST no ha registrado las vulnerabilidades, por lo que aún no han sido analizadas ni han recibido puntuación por parte de esta. No obstante, Microsoft ofrece una breve descripción de los detalles técnicos de las vulnerabilidades:
La vulnerabilidad CVE-2019-1367 reside en el Servicio de Escritorio Remoto (RDS) y se debe a un incorrecto manejo, por parte del motor de secuencias de comandos, de los objetos alojados en la memoria de Internet Explorer. Esto podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual y así obtener los mismos derechos que este. Se tiene conocimiento de que se ha llevado a cabo su explotación activa en la red.
Por su parte, la vulnerabilidad CVE-2019-1255 podría provocar una denegación de servicio debido un fallo en la forma en la que Microsoft Defender, antivirus contra amenazas de software, maneja los archivos. Para su explotación, es necesario que un atacante tenga acceso al sistema de la víctima, así como la capacidad de ejecutar código.
Recursos afectados:
La vulnerabilidad CVE-2019-1367 afecta:
- Internet Explorer 9 en Windows Server 2008
- Internet Explorer 10 en Windows Server 2012
- Internet Explorer 11 en:
- Windows Server 2008
- Windows Server 2012
- Windows Server 2019
- Windows 7
- Windows 8.1
- Windows 10
La vulnerabilidad CVE-2019-1255 afecta a Windows Defender en:
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
- Windows Server 2019
- Windows 7
- Windows 8.1
- Windows 10
- Windows Server, versión 1803
- Windows Server, versión 1903
Solución a la vulnerabilidad:
Para solucionar la vulnerabilidad CVE-2019-1367, se recomienda actualizar en la mayor brevedad posible al parche disponible a través del siguiente enlace:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
Con respecto a la vulnerabilidad CVE-2019-1255, Microsoft la ha corregido en la versión 1.1.16400.2 del motor de protección contra malware. Este, tiene integrada una función de actualización automática que llevará a cabo la actualización en un plazo de 48 horas posteriores a su disponibilidad. Si se desea llevar a cabo la actualización manualmente, se recomienda seguir las instrucciones disponibles en el artículo 2510781 de Microsoft Knowledge Base.
Recomendaciones:
En caso de no poder llevar a cabo las actualizaciones de forma inmediata, para solucionar temporalmente la vulnerabilidad CVE-2019-1367, se recomienda restringir el acceso a JScript.dll de forma manual a través de la ejecución de los siguientes comandos en el sistema administrativo:
- Para sistemas de 32 bits:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
- Para sistemas de 64 bits:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
Por el momento, el fabricante no ha ofrecido medidas de mitigación alternativas a la aplicación de los parches publicados en el boletín mensual de septiembre para corregir la vulnerabilidad CVE-2019-1255.
Referencias:
