microsoft lanzó hoy actualizaciones de software para tapar casi 80 agujeros de seguridad en su ventanas sistemas operativos y software relacionado. Entre ellos se encuentran correcciones para dos fallas de día cero que se están explotando activamente en la naturaleza, y parches para anular otros cuatro errores que se detallaron públicamente antes de hoy, lo que podría dar a los atacantes una ventaja para descubrir cómo usarlos para fines nefastos. .
Dejando a un lado los errores de día cero y los que se han revelado públicamente por el momento, probablemente la vulnerabilidad más grave abordada en el lote de parches de este mes (al menos para las empresas) una vez más reside en el componente de Windows responsable de asignar automáticamente las direcciones de Internet a las computadoras anfitrionas: una función llamó al «Servidor DHCP de Windows.”
La debilidad de DHCP (CVE-2019-0785) existe en la mayoría de las versiones compatibles del servidor de Windows, desde Servidor Windows 2012 mediante servidor 2019.
Microsoft dijo que un atacante no autenticado podría usar la falla de DHCP para tomar el control remoto total sobre los sistemas vulnerables simplemente enviando un paquete de datos especialmente diseñado a una computadora con Windows. Para aquellos que llevan la cuenta, esta es la quinta vez este año que Redmond aborda una falla tan crítica en el cliente DHCP de Windows.
En total, solo 15 de las 77 fallas reparadas hoy obtuvieron la calificación «crítica» más grave de Microsoft, una etiqueta asignada a las fallas que el malware o los malhechores podrían explotar para apoderarse de las computadoras con poca o ninguna ayuda de los usuarios. Cabe señalar que 11 de las 15 fallas críticas están presentes o son un componente clave de los navegadores integrados en Windows, a saber, Borde y Internet Reventador Explorador.
Uno de los defectos de día cero: CVE-2019-1132 – afecta ventanas 7 y servidor 2008 sistemas El otro – CVE-2019-0880 – está presente en Windows 8.1, servidor 2012 y sistemas operativos posteriores. Ambos permitirían a un atacante tomar el control total sobre un sistema afectado, aunque cada uno es lo que se conoce como una vulnerabilidad de «elevación de privilegios», lo que significa que un atacante ya necesitaría tener algún nivel de acceso al sistema objetivo.
CVE-2019-0865 es un error de denegación de servicio en una biblioteca criptográfica de código abierto de Microsoft que podría usarse para bloquear los recursos del sistema en una computadora con Windows 8 afectada. Fue revelado públicamente hace un mes por Proyecto Cero de Google operación de búsqueda de errores después de Microsoft según se informa no lo abordó dentro del plazo de divulgación de 90 días establecido por Project Zero.
La otra falla detallada públicamente antes de hoy es CVE-2019-0887que es una falla de ejecución remota de código en el Servicios de escritorio remoto (RDP) componente de Windows. Sin embargo, este error también requeriría que un atacante ya haya comprometido un sistema de destino.
Afortunadamente, no parece haber ninguna actualización de seguridad para Adobe Flash Player este mes.
Descargo de responsabilidad estándar: la aplicación de parches es importante, pero por lo general no está de más esperar unos días antes de que Microsoft elimine las arrugas en las correcciones, que a veces presentan problemas de estabilidad o usabilidad con Windows después de la actualización (KrebsOnSecurity se esforzará por actualizar esta publicación en el caso de que surjan problemas importantes con estos parches).
Como tal, es una buena idea adquirir el hábito de hacer una copia de seguridad de su sistema, o al menos de sus datos, antes de aplicar cualquier actualización. La cuestión es que las versiones más nuevas de Windows (por ejemplo, Windows 10+) de forma predeterminada seguirán adelante y decidirán por usted cuándo se debe hacer eso (a menudo esto es en medio de la noche). Pero ese ajuste puede ser cambiado.
Si experimenta algún problema al instalar alguno de los parches este mes, no dude en dejar un comentario al respecto a continuación; hay una probabilidad mayor que la de que otros lectores hayan experimentado lo mismo e incluso puedan contribuir con algunos consejos y sugerencias útiles.
Otras lecturas:
Blog del martes de parches de Qualys
Sostenible [full disclosure: Tenable is an advertiser on this blog].
Relacionado:
Patch Tuesday Lowdown, edición de octubre de 2019 – Krebs sobre la seguridad
Fat Patch Tuesday – Krebs sobre la seguridad
Patch Tuesday, 2016 US Election Edition – Krebs sobre seguridad
Microsoft Patch Martes, edición de abril de 2020 – Krebs sobre seguridad
Microsoft Patch martes, edición de abril de 2022 – Krebs en seguridad
