El martes 10 de noviembre, Microsoft publicó su paquete mensual de parches de seguridad, que aborda un total de 112 vulnerabilidades En una serie de sus productos y plataformas.
De las 112 fallas de seguridad solucionadas este mes, 17 están rotuladas como “críticas”, mientras que 93 son “importantes”, y dos son “leves” en severidad.
La actualización de seguridad de este mes también incluye un parche para una vulnerabilidad de día cero de Windows recientemente revelada por Project Zero de Google, con la advertencia de que estaba siendo activamente explotada en el ciberespacio. El bug, o error de código, registrado como CVE-2020-17087, afecta a Windows Server, Windows 10/RT/8.1/7 y se produce debido a un problema de desbordamiento en un componente de Windows utilizado para funciones criptográficas.
Microsoft calificó la vulnerabilidad CVE-2020-17087 como importante en cuanto a su severidad, probablemente porque un ciber-actor necesitaría tener acceso físico a un sistema vulnerable para poder explotar el error.
Los investigadores de Google dijeron además que hackers estaban explotando el error CVE-2020-17087 en combinación con un bug de Chrome (CVE-2020-15999) para atacar sistemas Windows. Los atacantes explotaron la vulnerabilidad de Chrome para ejecutar código malicioso dentro de Chrome y usaron CVE-2020-17087 para eludir la sandbox de seguridad de Chrome y elevar los privilegios del código para atacar el sistema operativo. Google corrigió CVE-2020-15999 en la última versión de Chrome (86.0.4240.111) que fue lanzada el mes pasado.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) publicó un aviso conjunto con el FBI el mes pasado que destacaba que actores maliciosos estaban combinando vulnerabilidades no parcheadas para obtener acceso a sistemas y elevar los privilegios. Como siempre, se recomienda a las organizaciones asegurarse de haber aplicado los parches disponibles antes de que los agentes de amenazas empiecen a aprovecharlos más ampliamente.
Otra corrección de Microsoft de este mes es para el CVE-2020-17051, un error de ejecución remota de código (RCE) existente en el sistema de archivos de red (NFS) de Windows. Este error es especialmente preocupante porque el NFS de Windows permite a los usuarios acceder a los archivos a través de una red y tratarlos como si existieran en un directorio de archivos local.
Los expertos temen que el atacante pueda aprovechar esta funcionalidad para acceder a sistemas críticos durante mucho tiempo.
Otro parche que destaca es el identificado como CVE-2020-17084, una falla que afecta a Exchange Server y que podría llevar a la ejecución remota de código.
CVE-2020-17040 es una vulnerabilidad de derivación en Windows Hyper-V que podría permitir a un atacante llevar a cabo un ataque sin autenticación o interacción con un usuario.
Otros productos de Microsoft que han recibido parches de seguridad este mes incluyen Microsoft Windows, Microsoft Windows Codecs Library, Office and Office Services and Web Apps, Edge (EdgeHTML-based y Chromium-based), Internet Explorer (IE), ChakraCore, Microsoft Dynamics, Windows Defender, Microsoft Teams, Visual Studio, Azure SDK y Azure DevOps.
