Durante el último Patch Tuesday, Microsoft advierte a miles de millones de sus usuarios de una nueva vulnerabilidad de día cero presente en Windows que los atacantes están explotando activamente en combinación con un exploit de Chrome para tomar el control remoto de las computadoras vulnerables.
Las actualizaciones de seguridad de diciembre de Microsoft incluyen parches para un total de 36 vulnerabilidades, donde 7 son críticas, 27 importantes, 1 moderada y una de baja gravedad; una breve descripción de esto se puede encontrar más adelante en este post.
Rastreado como CVE-2019-1458 y calificado como Importante, la vulnerabilidad de escalada de privilegios Win32k de día cero recién parcheada, dada a concer por Kaspersky, se utilizó en los ataques Operation WizardOpium para obtener mayores privilegios en los sistemas de destino al escapar del entorno limitado de Chrome.
Aunque Google abordó la falla en Chrome 78.0.3904.87 con el lanzamiento de una actualización de emergencia el mes pasado después de que Kaspersky se lo reveló al gigante de las búsquedas, los piratas informáticos siguen apuntando a los usuarios que usan versiones vulnerables del navegador.
Operation WizardOpium involucró un portal de noticias comprometido en idioma coreano donde los atacantes plantaron en secreto un exploit de Chrome de día cero para hackear las computadoras de sus visitantes.
Según los investigadores de Kaspersky, el exploit Chrome-use-after-free fue encadenado junto con la falla de EoP recientemente parcheada que existe en la forma en que el componente Win32k en el sistema operativo Windows maneja objetos en la memoria.
El exploit EoP funciona en las últimas versiones de Windows 7 e incluso en algunas versiones de Windows 10 y si se explota con éxito, podría permitir que un atacante remoto ejecutar código arbitrario en modo kernel.
Si bien los investigadores no pudieron atribuir los ataques Operation WizardOpium a ningún grupo específico de ciberdelincuentes, sin embargo encontraron algunas similitudes en el código de explotación con el infame grupo de ciberdelincuentes Lazarus.
Microsoft Patch Tuesday: diciembre de 2019
Las 7 vulnerabilidades de seguridad críticas que Microsoft parchó este mes afectan a Git para Visual Studio, Hyper-V Hypervisor y el componente Win32k Graphics de Windows y la explotación exitosa de todos conduce a ataques de ejecución remota de código.
La vulnerabilidad de Windows Hyper-V (CVE-2019-1471) permite que una máquina virtual invitada comprometa al hipervisor, escapando de una máquina virtual invitada al host o escapando de una máquina virtual invitada a otra máquina virtual invitada.
Git for Visual Studio contiene cinco vulnerabilidades críticas de ejecución remota de código, todas residen debido a la forma en que Git for Visual Studio desinfecta la entrada, lo que requiere que los atacantes convenzan a un usuario objetivo de clonar un repositorio malicioso.
Otra vulnerabilidad notable, rastreada como CVE-2019-1462 y calificada como importante, reside en el software de PowerPoint que puede explotarse para ejecutar código arbitrario en una computadora objetivo simplemente convenciendo a la víctima para que abra un archivo de presentación especialmente diseñado.
Esta vulnerabilidad afecta a Microsoft PowerPoint 2010, 2013 y 2016, así como a Microsoft Office 2016 y 2019 para los sistemas operativos macOS de Windows y Apple.
Otras vulnerabilidades parcheadas por Microsoft este mes y marcadas como importantes residen en los siguientes productos y servicios de Microsoft:
- Sistema operativo Windows
- Kernel de Windows
- Protocolo de escritorio remoto de Windows (RDP)
- Microsoft Word
- Microsoft Excel
- Servicios de informes de Microsoft SQL Server
- Software de Microsoft Access
- Componente GDI de Windows
- Win32k
- Windows Hyper-V
- Servicio de impresora de Windows
- Windows COM Server
- reproductor de medios de Windows
- Windows OLE
- VBScript
- Visual Studio Live Share
- Biblioteca de autenticación de Microsoft para Android
- Microsoft Defender
- Skype Empresarial y Lync
- Git para Visual Studio
La mayoría de estas vulnerabilidades permiten la divulgación de información y la elevación de privilegios, incluso algunas también conducen a ataques de ejecución remota de código, mientras que otras permiten secuencias de comandos entre sitios (XSS), omisión de características de seguridad, suplantación de identidad, manipulación y ataques de denegación de servicio.
Se recomienda encarecidamente a los usuarios de Windows y a los administradores del sistema que apliquen los últimos parches de seguridad lo antes posible para evitar que los ciberdelincuentes tomen el control de sus computadoras.
Para instalar las últimas actualizaciones de seguridad de Windows, puede dirigirse a Configuración → Actualización y seguridad → Actualización de Windows → Buscar Actualizaciones en su PC para instalar las actualizaciones manualmente.