Video: Fix It Parche Microsoft contra ataques Zero-day en Word (Noticia) (Noviembre 2024)
Microsoft lanzó cinco parches, dos calificados como "Críticos" y tres como "Importantes", arreglando 23 vulnerabilidades en Internet Explorer, Microsoft Windows y Silverlight como parte de la actualización del martes de parches de marzo. El parche IE también cerró la vulnerabilidad de día cero que los atacantes han estado explotando desde febrero.
Los atacantes explotaron la vulnerabilidad crítica de día cero (CVE-2014-0322) en Internet Explorer 10 el mes pasado como parte de la Operación SnowMan, que comprometió el sitio web perteneciente a los Veteranos de Guerras Extranjeras de los EE. UU., Así como en un ataque diferente que se hizo pasar por un francés fabricante aeroespacial. El parche IE (MS14-022) cierra esta falla y otras 17, incluida una que se ha utilizado en ataques dirigidos limitados contra Internet Explorer 8 (CVE-2014-0324), Dustin Childs, gerente de grupo en Microsoft Trustworthy Computing, escribió en el blog del Centro de respuestas de seguridad de Microsoft.
"Obviamente, la actualización de IE debería ser su máxima prioridad", dijo Childs.
Problemas con Silverlight
El otro parche crítico corrige una falla crítica de ejecución remota de código en DirectShow y afecta a múltiples versiones de Windows. La vulnerabilidad está en cómo DirectShow analiza las imágenes JPEG, por lo que es probable que los ataques que exploten este defecto inserten imágenes maliciosas dentro de páginas web comprometidas o incrustadas en documentos, dijo Marc Maiffret, CTO de BeyondTrust. Vale la pena señalar que los usuarios que se ejecutan con privilegios que no sean de administrador se verán menos afectados por estos ataques porque el atacante estará limitado en el daño que puede causar.
La omisión de la característica de seguridad en Silverlight se considera "importante", pero también debe tener una prioridad bastante alta. Los atacantes pueden explotar la falla al dirigir a los usuarios a un sitio malicioso que contenga contenido de Silverlight especialmente diseñado, dijo Microsoft. Lo peligroso es que los atacantes pueden evitar ASLR y DEP, dos tecnologías de mitigación de exploits incorporadas en Windows al explotar esta vulnerabilidad, advirtió Maiffret. Un atacante necesitaría un exploit secundario para lograr la ejecución remota de código después de omitir ASLR y DEP para obtener el control del sistema, como el defecto de omisión de ASLR parcheado en diciembre (MS13-106). Si bien actualmente no hay ataques que exploten esta falla en la naturaleza, los usuarios deben bloquear Silverlight para que no se ejecute en Internet Explorer, Firefox y Chrome hasta que se aplique el parche, dijo Maiffret. También es importante asegurarse de que también se hayan implementado parches más antiguos.
Microsoft debería renunciar a Silverlight ya que "ve muchos parches debido a su adopción limitada", sugirió Tyler Reguly. Dado que Microsoft continuará admitiéndolo hasta al menos 2021, las organizaciones deberían comenzar a migrar fuera de Silverlight para que "todos podamos desinstalar Silverlight y aumentar efectivamente la seguridad de los sistemas de usuario final", agregó.
Parches restantes de Microsoft
Otro parche que debería aplicarse más temprano que tarde es el que aborda un par de vulnerabilidades de elevación de privilegios Controlador de modo kernel de Windows (MS14-014) ya que afecta a todas las versiones compatibles de Windows (para este mes, que todavía incluye Windows XP). Para explotar esta falla, el atacante "debe tener credenciales de inicio de sesión válidas y poder iniciar sesión localmente", advirtió Microsoft.
El último parche soluciona problemas en el Protocolo de seguridad del Administrador remoto de cuentas (SAMR) que permite a los atacantes usar cuentas de Active Directory con fuerza bruta y no quedar fuera de la cuenta. El parche corrige esa llamada API para que Windows bloquee correctamente las cuentas cuando está bajo ataque. "Las políticas de bloqueo de intentos de contraseña se implementan específicamente para evitar intentos de fuerza bruta y permitir que un atacante malintencionado omita la política completamente derrota la protección que proporciona", dijo Reguly.
Otras actualizaciones de software
Esta es la semana para las actualizaciones del sistema operativo. Apple lanzó iOS 7.1 a principios de esta semana, y Adobe actualizó su Adobe Flash Player (APSB14-08) para cerrar dos vulnerabilidades hoy. Los problemas no se están explotando actualmente en la naturaleza, dijo Adobe.
Apple solucionó algunos problemas importantes en iOS 7, incluido un problema de informe de bloqueo que podría permitir a un usuario local cambiar los permisos en archivos arbitrarios en los dispositivos afectados, un problema del núcleo que podría permitir una terminación inesperada del sistema o la ejecución de código arbitrario en el núcleo y un error que permitía a un usuario no autorizado omitir los requisitos de firma de código en los dispositivos afectados. Apple también corrigió un error que podría permitir a un atacante atraer a un usuario a descargar una aplicación maliciosa a través de Enterprise App Download y otra que permitía que un archivo de copia de seguridad creado con fines malintencionados altere el sistema de archivos iOS.
