NEWSPAPER

      GREINCOR TECHNOLOGIES ®

Dos docenas de críticas entre 129 vulnerabilidades parcheadas para el martes de parches de septiembre de 2020

Parchar Windows es como recibir una vacuna de refuerzo, pero sin la aguja

Por Andrew Brandt

Microsoft lanzó hoy su grupo mensual de actualizaciones, que la mayoría de la gente recibirá como una pequeña cantidad de grandes paquetes de actualización cuando su computadora decida actualizarse automáticamente, como lo hace la mayoría. Los diversos parches en las líneas de productos de Microsoft corrigen 129 errores que se pueden dividir en seis categorías generales en función de cómo los errores afectan al usuario final de la computadora si no se reparan.

La compañía considera que al menos 24 de los errores se encuentran en la categoría “críticos”, lo que significa que están siendo explotados activamente o es probable que lo estén en un futuro próximo. Sin embargo, dado que las categorías críticas y menos severas están agrupadas en los mismos paquetes acumulativos de parches, lo importante es que aplique las actualizaciones tan pronto como sea posible.

La clave codificada por colores del gráfico de desglose enumera todos los productos o funciones para los que Microsoft publicó correcciones hoy.

Los lectores pueden encontrar los detalles completos sobre cada parche de este mes en las Notas de la versión de la Guía de actualizaciones de seguridad de Microsoft y en las actualizaciones de la pila de servicio. Si no quiere esperar, también puede descargar parches manualmente desde el Catálogo de actualizaciones de seguridad de Microsoft, donde están organizados por sistema operativo o producto.

Dado que este mes presenta una lista relativamente grande de vulnerabilidades críticas en las actualizaciones, aquí hay una lista de los números CVE asignados y los nombres de las vulnerabilidades marcadas como críticas.

  • CVE-2020-0911: Vulnerabilidad de elevación de privilegios del instalador de módulos de Windows
  • CVE-2020-0922: Microsoft COM para Windows, vulnerabilidad de ejecución remota de código
  • CVE-2020-1013: Vulnerabilidad de elevación de privilegios de directiva de grupo
  • CVE-2020-1033: Vulnerabilidad de divulgación de información del kernel de Windows
  • CVE-2020-1039: vulnerabilidad de ejecución remota de código del motor de base de datos Jet
  • CVE-2020-1044: Vulnerabilidad de omisión de la característica de seguridad de SQL Server Reporting Services
  • CVE-2020-1057: vulnerabilidad de daños en la memoria del motor de secuencias de comandos
  • CVE-2020-1129: vulnerabilidad de ejecución remota de código de la biblioteca de códecs de Microsoft Windows
  • CVE-2020-1172: Vulnerabilidad de daños en la memoria del motor de secuencias de comandos
  • CVE-2020-1200: vulnerabilidad de ejecución remota de código de Microsoft SharePoint
  • CVE-2020-1210: vulnerabilidad de ejecución remota de código de Microsoft Excel
  • CVE-2020-1252: vulnerabilidad de ejecución remota de código de Windows
  • CVE-2020-1285: vulnerabilidad de ejecución remota de código GDI +
  • CVE-2020-1319: vulnerabilidad de ejecución remota de código de la biblioteca de códecs de Microsoft Windows
  • CVE-2020-1452: vulnerabilidad de ejecución remota de código de Microsoft SharePoint
  • CVE-2020-1453: vulnerabilidad de ejecución remota de código de Microsoft SharePoint
  • CVE-2020-1460: vulnerabilidad de ejecución remota de código de Microsoft SharePoint Server
  • CVE-2020-1508: vulnerabilidad de ejecución remota de código del decodificador de audio de Windows Media
  • CVE-2020-1576: Vulnerabilidad de elevación de privilegios de Microsoft SharePoint
  • CVE-2020-1593: Vulnerabilidad de ejecución remota de código del decodificador de audio de Windows Media
  • CVE-2020-1595: vulnerabilidad de ejecución remota de código de Microsoft SharePoint
  • CVE-2020-16857: Microsoft Dynamics 365 for Finance and Operations (local) Vulnerabilidad de ejecución remota de código
  • CVE-2020-16862: vulnerabilidad de ejecución remota de código de Microsoft Dynamics 365 (local)
  • CVE-2020-16875: vulnerabilidad de daños en la memoria de Microsoft Exchange

Algunas de las sorpresas en la lista incluyen el subsistema GDI +, que también fue objeto de parches notables tanto en 2008 como en 2009 , y códecs de medios, que procesan archivos de imágenes, audio y video; Microsoft Dynamics 365 centrado en el negocio, que no se ha incluido de forma destacada en las alertas de parches anteriores, pero tiene vulnerabilidades en su versión “local” que no están presentes (o se solucionaron al final de Microsoft) en la versión de Office 365 Cloud ; y Windows Sharepoint, que se está utilizando mucho a medida que las empresas se centran en ayudar a su fuerza de trabajo distribuida y remota a colaborar mejor durante la cuarentena extendida y continua desde oficinas y escuelas.

El equipo de seguridad ofensiva de SophosLabs, que analiza el software en busca de vulnerabilidades y asume la responsabilidad de validar la información proporcionada por Microsoft a las empresas asociadas de MAPP, envió las siguientes notas sobre los errores que encontraron más interesantes del lote actual de correcciones.

Elevación de privilegios de Windows Win32k

CVE-2020-1152

Esta vulnerabilidad de escalada de privilegios está presente en el subsistema DirectComposition del archivo del controlador Win32k.sys. Introducido en Windows 8, DirectComposition es un componente de gráficos C ++ que permite la composición de mapas de bits de alto rendimiento con transformaciones, efectos y animaciones.

Para administrar estas funciones gráficas de alta gama, Win32k introduce objetos específicos del kernel y vincula esos objetos mediante el recuento de referencias. Esta vulnerabilidad proviene de un desbordamiento de números enteros del recuento de referencias de un objeto marshaller, que (cuando se activa) conduce a la corrupción de la memoria de uso después de liberar. Para desencadenar la vulnerabilidad, un usuario que haya iniciado sesión tendría que ejecutar una aplicación o un script especialmente diseñado, el tipo de acción que un atacante podría realizar en el curso de una intrusión activa a fin de otorgarse privilegios para ejecutar otros comandos. .

Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows

CVE-2020-1115

Es complicado decirlo, pero la esencia de este error significa que hay un error de escalada de privilegios en el controlador Common Log File System (CLFS) en Windows. El controlador CLFS se usa para generar y recopilar registros de transacciones de alto rendimiento y está habilitado de manera predeterminada en cualquier computadora moderna con Windows porque lo usa tanto el Kernel Transaction Manager (KTM) como el sistema de archivos NTFS de Microsoft. El controlador se introdujo en Windows Server 2003 R2, hace 15 años.

La vulnerabilidad se produce cuando el controlador analiza un archivo de registro BFL. Las computadoras con Windows normalmente no construirían un archivo de registro que contenga la vulnerabilidad, pero es posible que un atacante pueda crear un registro BFL especialmente diseñado que pueda desencadenar un exploit.

En un ataque hipotético dirigido a analistas de seguridad o de TI (que podrían estar compartiendo dichos archivos entre ellos durante una respuesta a un incidente), el archivo de registro armado activaría el controlador CLFS para emitir una llamada a la función RtlCopyMemory ()   en el controlador. Aprovechar tal corrupción de memoria daría como resultado que un atacante pudiera ejecutar código arbitrario en modo kernel, comprometiendo el host y, posiblemente, obstaculizando una investigación.

Afortunadamente, (probablemente) no tenemos que recordarle a este público objetivo en particular la importancia de instalar parches. Pero lo haremos de nuevo de todos modos: ¡tome sus vitaminas, use una máscara e instale sus parches!

Protección de Sophos

A continuación, se incluye una lista de protección publicada por SophosLabs en respuesta a este aviso para complementar cualquier protección existente y capacidades genéricas de mitigación de exploits en nuestros productos.

CVESAVIPS
CVE-2020-0664n / ASID: 2303716
CVE- 2020-0856n / ASID: 2303717

Sophos tiene como objetivo agregar detecciones para problemas críticos, según el tipo y la naturaleza de las vulnerabilidades, lo antes posible y cuando se nos haya brindado información suficiente para poder hacerlo. En muchos casos, las detecciones existentes en productos de punto final como Intercept X detectarán y bloquearán los intentos de explotación sin necesidad de actualizaciones.

Abrir chat
1
En qué podemos ayudarle?
Bienvenido a la Zona Greincortech!
¿En qué podemos ayudarle?