Martes de parches de octubre: Microsoft corrige un error crítico de escritorio remoto

Credit to Author: Naked Security| Date: Thu, 10 Oct 2019 11:05:22 +0000

Microsoft corrigió 59 vulnerabilidades en el martes de parches de octubre, incluidas varias vulnerabilidades críticas de ejecución remota de código (RCE).

Uno de las más importantes fue una vulnerabilidad (CVE-2019-1333) en el Cliente de Escritorio remoto de la empresa que permitiría que un servidor malicioso obtenga el control de un ordenador Windows que se conecte a él. Un atacante podría lograr esto usando ingeniería social, envenenamiento de DNS, un ataque de hombre en el medio o comprometiendo un servidor legítimo, advirtió Microsoft. Una vez comprometido el cliente, pueden ejecutar código arbitrario en él.

Otra vulnerabilidad crítica de RCE afectó al analizador MS XML en Windows 8.1, Windows 10, Windows Server 2012 hasta 2019 y RT 8.1. Un atacante puede desencadenar la vulnerabilidad CVE-2019-1060 a través de un sitio web malicioso que invoca el analizador en un navegador.

Un error de corrupción de memoria en el motor de secuencias de comandos Chakra de Edge (CVE-2019-1366) también permite que un sitio web malicioso active un RCE, operando con los privilegios de la cuenta del usuario, mientras que una vulnerabilidad RCE en Azure Stack, la extensión local de Microsoft de su servicio en la nube Azure, escapa del sandbox ejecutando código arbitrario con la cuenta NT AUTHORITYsystem.

La empresa también parcheó un error crítico de RCE en VBScript que permite que un atacante corrompa la memoria y tome el control del sistema, generalmente enviando un control ActiveX a través de un sitio web o documento de Office. Esperemos que los errores en VBScript se vuelvan menos importantes con el tiempo ahora que la empresa ha desaprobado el lenguaje.

Otros errores notables considerados importantes que Microsoft parcheó esta semana incluyeron una vulnerabilidad de suplantación de identidad en Microsoft Edge y una vulnerabilidad de elevación de privilegios en el servidor IIS (CVE-2019-1365) que podría permitir que un atacante escapara del entorno limitado de IIS con una solicitud web.

También hubo una vulnerabilidad en la función de arranque seguro de Windows que permitiría a un atacante exponer la memoria protegida del núcleo al acceder a la funcionalidad de depuración que debería estar protegida. Tendrían que obtener acceso físico a la máquina para aprovechar este error, etiquetado CVE-2019-1368.

Los usuarios locales del sistema de operaciones y finanzas empresariales de Dynamics 365 deben parchear el error de cross-site scripting CVE-2019-1375 que permite a un atacante secuestrar sesiones de usuario.

Entre las docenas de otros errores que Redmond parcheó esta semana había una vulnerabilidad de elevación de privilegios en el cliente de Windows Update. Esta podría permitir que un atacante tome el control de la función que actualiza el sistema operativo Windows e instale, cambie o elimine programas a voluntad. Sin embargo, primero tendrían que iniciar sesión en el sistema.

También se incluyeron en el parche paquetes acumulativos mensuales para el error crítico de corrupción de memoria CVE-2019-1367 en Internet Explorer que podría ejecutar el código arbitrario en el contexto del usuario actual. Afecta a IE 9, 10 y 11. El mismo paquete acumulativo mensual presenta una actualización para el error CVE-2019-1255. Hemos informado sobre estos dos el mes pasado y los parches han estado disponibles desde el 23 de septiembre de 2019. Sin embargo, el parche inicial de día cero de IE fue confuso y causó problemas, según los informes.

Fue un mes tranquilo para Adobe, sin parches ni avisos.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY