Microsoft soluciona 44 vulnerabilidades incluido grave 0-day en Word

Y Microsoft cumplió su "amenaza". Este mes nos ha dejado sin los ya clásicos boletines a los que nos tenía acostumbrados todos los meses desde 1998. Ahora lo ha reemplazado por la Security Update Guide. Un infierno de lista en la que es imposible encontrar información de forma sencilla sobre las vulnerabilidades corregidas.

Nos habíamos acostumbrado a los clásicos boletines de seguridad, con el ya conocido formato de numeración MSXX-YYY. Un formato en el que era relativamente sencillo encontrar las vulnerabilidades que afectaban a cada producto, los CVE, la descripción de cada problema, correcciones, y hasta quien había encontrado cada problema. Pero todo eso ya forma parte de la historia.

Según la publicación del Microsoft Security Response Center simplemente hay que activar las actualizaciones automáticas y no preocuparnos por nada más.

"Today we released security updates to provide additional protections against malicious attackers. As a best practice, we encourage customers to turn on automatic updates."

No es fácil encontrar información útil entre 650 entradas

Si consultamos la Security Update Guide la firma de Redmond nos ofrece una larga lista con 650 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. A partir de ahí, después podemos establecer que solamente corresponden a 46 entradas en la base de conocimientos. Entradas que hay que revisar una a una para poder tener algún alcance de todo lo que se ha corregido. Desde luego, algo que no facilita el trabajo a los técnicos de seguridad. Quizás sí a los usuarios finales que solo necesitan instalar las actualizaciones que les corresponden, pero no a los investigadores, especialistas o administradores que deben mantener sistemas y conocer las vulnerabilidades que pueden afectarles.

La lista de productos afectados es:

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office y Microsoft Office Services y Web Apps
Visual Studio para Mac
.NET Framework
Silverlight
Adobe Flash Player

En total, se han corregido 44 vulnerabilidades y 7 adicionales correspondientes al reproductor Adobe Flash Player (incluidas en el boletín APSB17-10 de Adobe). Según la propia clasificación de Microsoft 13 de los problemas son críticos, 29 importantes y 2 de importancia moderada.

La recomendación para analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.

Si pasamos a analizar las vulnerabilidades cabe destacar la corrección de una grave vulnerabilidad 0-day en Office y WordPad, con CVE-2017-0199, que está siendo explotada de forma activa en la actualidad. Este problema, descubierto por los investigadores de McAfee, afecta a todas las versiones de Office, incluyendo la última Office 2016 en Windows 10 totalmente actualizado. Basta con abrir un documento específicamente creado con alguna versión afecta y el atacante puede lograr la ejecución de código arbitrario. El exploit detectado se conecta a un servidor remoto, descarga un archivo que contiene una aplicación html y la ejecuta como archivo hta. Como los .hta son ejecutables el atacante consigue la ejecución de código total en el sistema de la víctima.

También es reseñable la corrección de una vulnerabilidad de hace 4 años, del 2013. Con CVE-2013-6629, un problema de obtención de información sensible en la librería de tratamiento de imágenes libjpeg. Un atacante podría obtener información que le permitiría evitar la protección Address Space Layout Randomization (ASLR). Problema que era conocido y fue corregido por otros fabricantes hace años.

Otras actualizaciones se desglosan en:

Actualización acumulativa para Microsoft .net Framework, que corrige una vulnerabilidad de ejecución remota de código considerada crítica (CVE-2017-0160)
Actualización acumulativa para Microsoft Windows Hyper-V, que soluciona 13 vulnerabilidades que podrían permitir la ejecución remota de código, provocar condiciones de denegación de servicio o de obtención de información sensible
Actualización acumulativa para Internet Microsoft Explorer, considerada crítica y que evita cuatro vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0202, CVE-2017-0201, CVE-2017-0158 y CVE-2017-0210).
Actualización acumulativa para Microsoft Edge, que soluciona cinco vulnerabilidades, tres de ellas podrían permitir la ejecución remota de código (CVE-2017-0205, CVE-2017-0093, CVE-2017-0200, CVE-2017-0208 y CVE-2017-0203)
Actualización acumulativa para Microsoft Office destinada a corregir siete vulnerabilidades, las más graves podrían permitir la ejecución de código arbitrario al abrir un documento Office específicamente creado, incluido el 0 day descrito anteriormente.
También se han solucionado vulnerabilidades en Microsoft Windows Graphics, Microsoft Windows Active Directory y en los propios sistemas Windows.

Nos tendremos que acostumbrar a este nuevo formato. Que además, por supuesto, no ofrece ninguna posibilidad de información en español. Y confiar en que otros fabricantes no copien este nuevo modelo de Microsoft.

Más información:

April 2017 Security Updates

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99

Critical Office Zero-Day Attacks Detected in the Wild

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

April 2017 security update release

https://blogs.technet.microsoft.com/msrc/2017/04/11/april-2017-security-update-release/

CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler

https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html

CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

una-al-dia (14/11/2013) Actualización de seguridad para Google Chrome