63 nuevas vulnerabilidades encontradas en Windows

La empresa recomienda a los usuarios actualizar sus sistemas cuanto antes, pues entre los errores encontrados hay vulnerabilidades día cero

Este martes Microsoft ha lanzado una nueva ronda de actualizaciones de seguridad para el sistema operativo Windows y otros productos Microsoft, informan expertos en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética.

Este mes, los usuarios de Windows y los administradores de sistemas deben ocuparse de inmediato de actualizar para corregir un total de 63 vulnerabilidades de seguridad, de las cuales 12 son consideradas críticas, 49 relevantes, una moderada y una de gravedad baja.

Dos de los errores solucionados por el gigante de la tecnología este mes no habían sido revelados al público hasta este momento, además, especialistas en forense digital informan que una de las vulnerabilidades está siendo explotada de manera activa en ambientes reales por múltiples grupos de ciberdelincuentes.

Explotación de vulnerabilidad día cero

La vulnerabilidad día cero, rastreada como CVE-2018-8589, fue detectada y reportada por primera vez por investigadores de una firma rusa de ciberseguridad y forense digital, y está siendo explotada en escenarios reales por múltiples grupos de amenazas avanzadas persistentes.

El error reside en el componente Win32k (win32k.sys), y si es explotado con éxito, podría permitir que un programa malintencionado ejecute código arbitrario en modo kernel y eleve los privilegios del atacante en un sistema Windows 7, Server 2008 o Server 2008 R2 afectado, permitiéndole tomar el control.

“El exploit fue ejecutado por la primera etapa de un instalador de malware para obtener los privilegios necesarios para su persistencia en el sistema de la víctima. Hasta ahora, hemos detectado un número muy limitado de exploits exitosos de esta vulnerabilidad”, mencionaron los investigadores.

Dos vulnerabilidades día cero reveladas

Las otras dos vulnerabilidades día cero recientemente reveladas (y de las que no se han encontrado evidencias de explotación) residen en el servicio de Llamada a Procedimiento Local Avanzado de Windows (ALPC) y en la característica de seguridad BitLocker de Microsoft.

La vulnerabilidad relacionada con ALPC, rastreada como CVE-2018-8584, es una vulnerabilidad de escalada de privilegios que podría explotarse al ejecutar una aplicación especialmente diseñada para ejecutar código arbitrario en el contexto de seguridad del sistema local y tomar el control de un sistema afectado.

APLC facilita la transferencia de datos segura y de alta velocidad entre uno o más procesos en el modo de usuario.

La segunda vulnerabilidad revelada públicamente, rastreada como CVE-2018-8566, se presenta cuando Windows suspende indebidamente el cifrado de dispositivo BitLocker, lo que podría permitir que un atacante con acceso físico a un sistema apagado omita la seguridad y obtenga acceso a datos cifrados.

BitLocker llamó la atención de la comunidad de la ciberseguridad a principios de Noviembre por un problema de seguridad que podría exponer los datos encriptados de algunos usuarios de Windows debido a configuración predeterminada y mala encriptación en unidades de estado sólido auto cifradas.

De los 12 errores críticos, 8 son vulnerabilidades de corrupción de memoria en el motor de secuencias de comandos Chakra presentes debido a la forma en que el motor de secuencias de comandos maneja los objetos en el navegador Microsoft Edge. Todos estos 8 errores podrían ser explotados para corromper la memoria, permitiendo que un atacante ejecute código en el contexto del usuario actual.

Tres de las vulnerabilidades restantes son errores de ejecución remota de código en el servidor TFTP de los Servicios de Implementación de Windows, todas residen debido a la forma en que el software afectado maneja los objetos en la memoria.

La última vulnerabilidad crítica es también una falla de ejecución remota de código que se encuentra en Microsoft Dynamics 365 versión 8. La falla existe cuando el servidor no puede desinfectar adecuadamente las solicitudes web a un servidor de Dynamics afectado.