Microsoft publicó una actualización de software de emergencia fuera de banda para los sistemas Windows 8.1, Windows RT 8.1 y Windows Server 2012 R2, para parchear dos nuevas vulnerabilidades de seguridad reveladas recientemente.
Rastreadas como CVE-2020-1530 y CVE-2020-1537, ambas vulnerabilidades residen en el Servicio de Acceso Remoto (RAS), de una forma que administra la memoria y las operaciones de archivos y podría permitir a los atacantes remotos obtener privilegios elevados después de una explotación exitosa.
La funcionalidad del Servicio de Acceso Remoto del sistema operativo Windows permite a los clientes remotos conectarse al servidor y acceder a los recursos internos desde cualquier lugar a través de Internet.
Un parche para las dos vulnerabilidades se lanzó por primera vez el 11 de agosto, con el lote de actualizaciones del martes de parches de agosto, pero fue para Windows 10, Windows 7 y Windows Server 2008, 2012, 2016, 2019 y Windows Server versiones 1903, 1909 y 2004.
Este 19 de agosto, la compañía anunció que los sistemas Windows 8.1 y Windows Server 2012 R2 son vulnerables a los problemas de escalada de privilegios y a parches lanzados fuera de banda.
Las vulnerabilidades fueron calificadas con una puntuación CVSS de 7.8 sobre 10, con gravedad «importante».
Los usuarios afectados de dichos sistemas pueden descargar e instalar los paquetes independientes (KB4578013) desde el sitio web del Catálogo de Actualizaciones de Microsoft.
Además de estas dos fallas, las recientes actualizaciones del martes de parches abordaron notablemente un total de 120 vulnerabilidades de software recientemente descubiertas, de las cuales, 17 fueron calificadas como críticas y dos de ellas están siendo explotadas en la naturaleza.
En caso de no aplicar los parches correspondientes, una computadora con sistema operativo Windows puede ser pirateada con el simple hecho de:
- Reproducir un archivo de video
- Escuchar un audio
- Navegar en un sitio web
- Editar una página HTML
- Leer un archivo PDF
- Recibir un mensaje de correo electrónico
- Entre otras actividades cotidianas