Microsoft lanzó actualizaciones para abordar 99 vulnerabilidades en Windows - Masterhacks Blog

Microsoft lanzó actualizaciones para abordar 99 vulnerabilidades en Windows

A unas horas de que Adobe lanzara actualizaciones de seguridad para cinco de sus software, Microsoft emitió sus actualizaciones del Patch Tuesday de febrero de 2020, con parches para abordar 99 nuevas vulnerabilidades.

Según las advertencias, 12 de los problemas totales parcheados por la compañía este mes son de gravedad crítica, y los 87 restantes se enumeraron como importantes.

Cinco de los errores se enumeran como conocidos públicamente en el momento del lanzamiento, de los cuales cuatro son importantes y uno crítico (CVE-2020-0674), que también se encuentra bajo ataques activos.

Microsoft advirtió sobre esta vulnerabilidad de día cero en el navegador Internet Explorer (IE) el mes pasado cuando lanzó un aviso sin lanzar un parche para millones de sus usuarios afectados.

Como se explicó antes, la falla podría permitir que un atacante remoto ejecute código arbitrario en computadoras específicas y tome el control total sobre ellas simplemente al convencer a las víctimas de que abran una página web con fines maliciosos en el navegador vulnerable de Microsoft.

Todas las versiones compatibles de Microsoft Windows también tienen una falla crítica de RCE (CVE-2020-0662), que un atacante con cuenta de usuario de dominio puede explotar para ejecutar código arbitrario en el sistema de destino con permisos elevados.

Remote Desktop Client también cuenta con dos problemas críticos, rastreados como CVE-2020-0681 y CVE-2020-0734, que no son errores corregibles, pero y podrían utilizarse para comprometer sistemas vulnerables cuando se conectan a un servidor malicioso o no confiable.

«Para aprovechar esta vulnerabilidad, un atacante necesitaría tener el control de un servidor y luego convencer a un usuario para que se conecte a él. Un atacante no tendría forma de obligar a un usuario a conectarse al servidor malicioso, necesitaría engañar al usuario para conectarse por medio de ingeniería social, envenenamiento de DNS o utilizar una técnica de Hombre en el Medio (MITM). Un atacante también podría comprometer un servidor legítimo, alojar código arbitrario malicioso en él y esperar a que el usuario se conecte.», dice el aviso.

Existe otra vulnerabilidad crítica (CVE-2020-0729), que existe en la forma en que el sistema operativo Microsoft Windows analiza los accesos directos LNK, cuya explotación exitosa podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado y tome el control total de él.

«El atacante podría presentar al usuario una unidad extraíble, o recurso compartido remoto, que contiene un archivo .LNK malicioso y un binario malicioso asociado. Cuando el usuario abre esta unidad en el explorador de Windows o cualquier otra aplicación que analiza el archivo .LNK, el binario malicioso ejecutará el código de la elección del atacante en el sistema de destino», dice el aviso.

Además, la mayoría de los otros problemas críticos son fallas de corrupción de memoria en IE, el navegador Edge y el motor de secuencias de comandos Chakra, que de ser explotados, también podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un sistema objetivo en el contexto de el usuario actual.

Cabe mencionar que existe un importante problema de omisión de características de seguridad (CVE-2020-0689), que representa una amenaza significativa para los usuarios conscientes de la seguridad. Según Microsoft, hay una vulnerabilidad en la función de arranque seguro que podría permitir que un atacante la omita y cargue software no confiable en el sistema.

Las últimas actualizaciones también tienen parches para múltiples vulnerabilidades de escalada de privilegios, afectando las versiones del sistema operativo Windows, lo que podría permitir a los hackers con pocos privilegios ejecutar código arbitrario en modo kernel.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *