Tras la publicación mensual de los parches de seguridad, otra vulnerabilidad fue corregida vía urgente. Con el código CVE-2017-0290, corresponde a una de ejecución de código en remoto que afectaba al Motor de Antivirus de Microsoft, el cual viene habilitado por defecto en Windows 7, 8.1, RT, 10 y Server 2016. Fue reportada por los investigadores de Project Zero de Google y podía permitir a un atacante hacerse con el control de un PC con tan solo enviar un email malicioso.

De las 55 vulnerabilidades corregidas por la compañía, 17 fueron etiquetadas como críticas. Los administradores de sistema tendrían que priorizar la aplicación del parche mensual publicado el pasado martes con el fin de corregir cuanto antes las cuatro vulnerabilidades zero-day detectadas, de cuales tres fueron explotadas por grupos de ciberespionaje rusos.

Las 4 vulnerabilidades zero-day

  • CVE-2017-0261: Afecta a las versiones tanto de 32 como de 64 bits de Microsoft Office 2010, 2013 y 2016 y reside en la manera en que la suite ofimática maneja ficheros de imágenes PostScript Encapsulados (EPS/Encapsulated PostScript), permitiendo la ejecución de código en remoto. Podía ser explotada si la víctima era engañada para abrir un fichero con una imagen específicamente diseñada a través de email. Además, también abría la puerta a la explotación de una vulnerabilidad de escalada de privilegios (CVE-2017-0001) que fue parcheada el 14 de marzo por Microsoft, a través de la cual se podía obtener control total sobre el sistema. Según FireEye, un grupo de ciberespionaje ruso que ha actuado bajo los nombres de Turla, Snake y Uroburos ha estado explotándola activamente.
  • CVE-2017-0262: Otra ejecución de código en remoto provocada a partir de una imagen específicamente diseñada incrustada en un documento de Office. FireEye y ESET señalan que el grupo de hackers que ha actuado bajo los nombres de APT28, Fancy Bear y Pawn Storm ha podido estar explotándola de forma activa.
  • CVE-2017-0263: La tercera vulnerabilidad se trata de una escalada de privilegios que afecta a todas las versiones soportadas del sistema operativo Windows, y puede ser aprovechada a través de la manera en que los drivers en modo kernel de Windows manejan objetos en memoria, permitiendo a los atacantes ejecutar código arbitrario en el modo kernel para luego instalar malware, observar, cambiar o borrar datos en el sistema, además de poder crear nuevas cuentas con privilegios totales. Investigadores dicen que esta vulnerabilidad y la anterior han sido explotadas por grupos de ciberespionaje ruso.
  • CVE-2017-0222: Afecta a los navegadores Internet Explorer 10 y 11 y reside en la menara en que el navegador maneja objetos en memoria. A través de la apertura de una página web maliciosa se puede provocar una corrupción de memoria para disparar la ejecución de un ataque de código en remoto, permitiendo a los atacantes tomar el control del sistema afectado. Según Microsoft, esta vulnerabilidad ha sido explotada de forma activa desde muchos frentes.

Otras vulnerabilidades críticas parcheadas

Este mes también han llegado parches para corregir vulnerabilidades críticas halladas en Internet Explorer y Microsoft Edge, las cuales podían llevar a una ejecución de código en remoto a través del engaño de las víctimas para que abriesen una página web maliciosa o vieran publicidad específicamente diseñada a través de dichas aplicaciones.

Además, se han descubierto otras cuatro vulnerabilidades críticas de ejecución de código en remoto, las cuales afectaban al protocolo de compartición por red SMB en Windows 7, 8.1, Server 2008, Server 2012 y Server 2016: CVE-2017-0272, CVE-2017-0277, CVE-2017-0278 y CVE-2017-0279. Dichas vulnerabilidades ponían a PC y servidores Windows en riesgo de ser hackeados en caso de usar SMBv1, aunque no hay noticias de que hayan sido explotadas.

Adobe Flash Player también ha recibido su correspondiente actualización de seguridad para los sistemas operativos Windows, macOS y Linux.

 

Fuente: The Hacker News | muyseguridad