Los usuarios de Windows están preocupados por los días cero con exploit activo


La palabra CERO-DÍA está oculta en una pantalla llena de unos y ceros.

Es el segundo martes de febrero, y eso significa que Microsoft y otros fabricantes de software están lanzando docenas de actualizaciones para corregir vulnerabilidades de seguridad. En la parte superior de la lista de este mes se encuentran dos días sin exploits activos y errores de red críticos que permiten a los atacantes ejecutar de forma remota códigos maliciosos o apagar computadoras.

El parche principal corrige un error de ejecución de código en Adobe Reader que, a pesar de su condición de dentista, sigue siendo ampliamente utilizado para ver y trabajar con documentos PDF. CVE-2021-21017, ya que se persigue la vulnerabilidad crítica, resultó de un desbordamiento de búfer basado en montón. Después de ser notificado de esto por una fuente anónima, Adobe advirtió que la falla se estaba explotando activamente en ataques limitados a los usuarios de Reader en Windows.

Adobe no proporcionó detalles adicionales sobre la vulnerabilidad o los ataques que se utilizaron para aprovecharla. Por lo general, los piratas informáticos utilizan documentos especialmente diseñados que se envían por correo electrónico o se publican en línea para activar la vulnerabilidad y ejecutar un código que instala malware en el dispositivo en el que se ejecuta la aplicación. El uso de Adobe de la palabra «limitado» probablemente signifique que los piratas informáticos están enfocando sus ataques en un número reducido de objetivos de alto valor.

Desde entonces, Microsoft ha lanzado una actualización para una vulnerabilidad en Windows 10 y Windows Server 2019 que también está activamente bajo ataque. El error indexado como CVE-2021-1732 permite a los atacantes ejecutar su código malicioso con derechos de sistema elevados.

¿Cadena de hazañas?

Los piratas informáticos suelen utilizar estas vulnerabilidades de privilegios elevados junto con el código de ataque que apunta a una vulnerabilidad separada. El primero permite que se ejecute el código, mientras que el segundo asegura que el código se ejecute con permisos lo suficientemente altos como para acceder a partes sensibles del sistema operativo. Microsoft adquirió JinQuan, MaDongZe, TuXiaoYi y LiHao de DBAPPSecurity Co. Ltd. atribuyó el descubrimiento y la notificación de la vulnerabilidad.

En una publicación de blog publicada después de que se parcheó la vulnerabilidad, los investigadores de DBAPPSecurity dijeron que un grupo avanzado de hackers de amenazas persistentes llamado Bitter están explotando la vulnerabilidad en «un número muy limitado de ataques» contra objetivos en China. Permitió a los atacantes salir de la zona de pruebas de seguridad si los objetivos usaban Internet Explorer o Adobe Reader.

«La calidad de esta vulnerabilidad [is] alto y el exploit es sofisticado «, escribieron los investigadores». El uso de este día cero en la naturaleza refleja la gran capacidad de la organización para reservar reservas para vulnerabilidades. La organización de amenazas puede haber reclutado miembros de cierta fuerza o comprárselos a corredores de vulnerabilidades. «

El parcheo simultáneo de CVE-2021-21017 y CVE-2021-1732, su conexión a Windows y la capacidad de CVE-2021-1732 para derrotar a la defensa de un lector clave aumentan la clara posibilidad de que los exploits de Attacks en estado salvaje se combinen para las dos vulnerabilidades. Sin embargo, ni Microsoft ni Adobe han proporcionado ninguna información que confirme esta especulación.

Microsoft publicó un boletín de seguridad el martes instando a los usuarios a resolver tres vulnerabilidades en el componente TCP / IP de Windows que es responsable de enviar y recibir tráfico de Internet. CVE-2021-24074 y CVE-2021-24094 están clasificados como críticos y permiten a los atacantes enviar paquetes de red comprometidos de forma malintencionada que ejecutan código. Ambos errores también permiten a los piratas informáticos lanzar ataques de denegación de servicio, al igual que una tercera vulnerabilidad de TCP / IP, rastreada como CVE-2021-24086.

El boletín dijo que desarrollar exploits de ejecución de código confiables será difícil, pero los ataques DoS son mucho más simples y, por lo tanto, es probable que se exploten en la naturaleza.

«Las dos vulnerabilidades de RCE son complejas y dificultan la creación de exploits funcionales. Por lo tanto, no es probable que ocurran en el corto plazo», dijo el boletín del martes. “Creemos que los atacantes pueden crear exploits DoS mucho más rápido y esperamos que los tres problemas se exploten con un ataque DoS poco después de su lanzamiento. Como resultado, recomendamos a los clientes que apliquen rápidamente las actualizaciones de seguridad de Windows este mes. «

Las tres vulnerabilidades provienen de un error en la implementación de TCP / IP de Microsoft y afectan a todas las versiones compatibles de Windows. Las implementaciones que no son de Microsoft no se ven afectadas. Microsoft ha identificado las vulnerabilidades internamente.

56 vulnerabilidades

En total, Microsoft ha corregido 56 vulnerabilidades en varios productos, incluidos Windows, Office y SharePoint. Microsoft calificó 11 de las vulnerabilidades como críticas. Como de costumbre, los usuarios afectados deben aplicar los parches lo antes posible. Aquellos que no puedan parchear de inmediato deben consultar las soluciones alternativas que se enumeran en las notas.

También unas palabras sobre Adobe Reader. Adobe ha dedicado importantes recursos a mejorar la seguridad de los productos durante los últimos años. Aun así, Reader incluye una serie de funciones avanzadas que los usuarios ocasionales rara vez o nunca necesitan. Estas funciones avanzadas crean el tipo de superficie de ataque que adoran los piratas informáticos. Es posible que la gran mayoría de usuarios de computadoras desee considerar un lector estándar con menos adornos. Edge, Chrome o Firefox son productos de reemplazo adecuados.

Publicación actualizada para agregar detalles de la publicación del blog DBAPPSecurity.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *