Con un total de 83 vulnerabilidades, incluyendo 10 parches críticos, los cuales permiten la ejecución remota de código conocido como (RCE), que afecta productos de Microsoft como el antivirus Microsoft Defender, Microsoft Edge y Microsoft DTV-DVD Video Decoder. Asi mismo 73 parches Importantes que permite desde RCE elevación de privilegios, suplantación, manipulación, divulgación de información y omisión de funciones de controles de seguridad.
A continuación las vulnerabilidades reportadas más relevantes:
Defecto crítico en Windows Defender permite RCE
Identificado con el CVE-2021-1647, es una vulnerabilidad en el motor de protección de malware de Microsoft que permite que un atacante realice RCE en un sistema afectado. Microsoft no ha revelado el grado e impacto de la explotación, pero desde Up Connection te recomendamos generar acciones de actualización inmediata, ya que esta vulnerabilidad se está explotando activamente.
Fallos en Microsoft splwow64
SplWOW64 son las siglas de Spooler Windows OS (Windows 64-bit) un controlador para impresión en este sistema operativo, y la próxima vulnerabilidad en la línea de explotación activa hoy en día. Fue publicado con el identificador CVE-2021-1648 y permite elevar privilegios, asi mismo fue divulgado públicamente por Google Project Zero y por el equipo Zero Day Initiative de Trend Micro. El parche de este mes corrige errores en la lectura out-of-bounds (OOB), una condición de lectura fuera de límites en una función que verifica un puntero de cadenas de entrada. Este CVE es el siguiente en la línea de explotación activa, ya que recientemente ese controlador presentó una vulnerabilidad que fue explotada activamente.
Extensiones de video HEVC vulnerables, Visual Studio
Clasificada como crítica, con el identificador CVE-2021-1643. Es una vulnerabilidad que se deriva de la validación de una entrada incorrecta en las extensiones de codificación de video de alta eficiencia conocido por sus siglas en inglés (HEVC) o High Efficiency Video Coding. Cuando se explota, permite a un atacante remoto ejecutar código arbitrario en un sistema objetivo. La actualización de esta vulnerabilidad se entregará a través de Microsoft Store.
También fue reportada la vulnerabilidad con identificador CVE-2020-26870, un error que ocurre en el software de código abierto utilizado por Visual Studio. El software es Cure53 DOMPurify que es un DOM (Direct Object Model-only) de HTML afectado por cross-site scripting (XSS). Este parche cubre los errores conocidos como “Open-and-Own” utilizado en los componentes de Office. Para aprovechar la vulnerabilidad, un atacante tendría que enviar un archivo especialmente diseñado y hacer que el usuario abra el archivo en un componente afectado. Una vez que se ha aprovechado la falla, el atacante puede ejecutar código arbitrario al nivel del usuario que inició sesión.
Recomendaciones de Up Connection:
● Actualización y aplicación de parches. Es recomendable realizar revisión y confirmación en los ambientes de pruebas, para verificar el impacto en la actualización de estas vulnerabilidades.
● Protección inmediata a través de parches virtuales, mientras se realizan las pruebas de impacto, programación de las ventanas de mantenimiento para el reinicio de los servidores y/o equipos.
Ventajas al implementar los parches virtuales:
– Los parches virtuales permiten la aplicación de parches para vulnerabilidades criticas sin tocar el sistema operativo, ni las aplicaciones por lo que no se requiere el reinicio.
– El parche virtual no es un gestor de parches, ya que tambien protege vulnerabilidades donde todavia no existe un parche por ejemplo sistemas operativos conocidos como Legacy como Windows 2003, windows 2008 que ya no son soportados por Microsoft y por lo tanto nuevas vulnerabilidades y aplicaciones que corren en estos sistemas operativos no seran parchadas por el fabricante tiene sentido la utilización de un parche virtual.
● Siguiendo con las recomendaciones, se debe tener en cuenta que para las vulnerabilidades reportadas, nuestro Partner Trend Micro ya cuenta con los siguientes parches virtuales, lo cual proporcionara seguridad de red, seguridad del sistema y prevención de malware con la Protección contra vulnerabilidades, para proteger servidores y sistemas de usuarios de una amplia gama de amenazas futuras. Estas protegen a los usuarios de exploits
o Vulnerabilidad de ejecución remota de código de Microsoft Excel (CVE-2021-1713)
o Vulnerabilidad de ejecución remota de código autenticado por Microsoft SharePoint (CVE-2021-1707)
o Vulnerabilidad de ejecución remota de código de Microsoft Windows Defender (CVE-2021-1647)
o Vulnerabilidad de ejecución remota de código de Microsoft Windows Defender en SMB (CVE-2021-1647)
o Vulnerabilidad de ejecución remota de código de Microsoft Word (CVE-2021-1715)
Si desea conocer más información de parche virtuales y como aplicarlos puede conocer más información en este link, aplique parches virtuales sin impactar sus servidores y aplicaciones
