Microsoft repara vulnerabilidad de día cero explotado por hackers rusos


Los 14 boletines de seguridad publicados el martes por Microsoft abordan muchos problemas graves, incluyendo un par de vulnerabilidades de Windows explotadas activamente por actores maliciosos y bugs para los cuales expoits ya están disponibles públicamente.

Una de las vulnerabilidades de día cero ha sido parcheado con MS16-135, un boletín calificado importante. MS16-135 corrige dos divulgaciones de información y tres fallos de escalamiento de privilegios, uno de los cuales es un error en el núcleo de Windows explotado en ataques por un grupo de espionaje cibernético vinculado a Rusia para obtener privilegios elevados y saltar las protecciones del navegador.

La vulnerabilidad de día cero, conocido como CVE-2016-7255, fue informado a Microsoft por investigadores de Google el 21 de octubre y fue divulgada por el gigante de las búsquedas diez días más tarde. Google suele dar a los proveedores unos meses para corregir las vulnerabilidades, pero el plazo es de sólo 7 días para los defectos explotados en estado salvaje.

Aunque Google decidió que sería de interés para los usuarios divulgar la vulnerabilidad, Microsoft no estuvo de acuerdo y criticó a la compañía por poner a sus clientes en riesgo. Microsoft señaló que la vulnerabilidad estaba no estaba siendo explotada masivamente pero se halló una campaña de phishing elaborada por el grupo conocido como Pawn Storm, APT28, Fancy Bear, Sednit, Sofacy y Tsar Team.

La vulnerabilidad afecta a Windows Vista y a Windows 10 Anniversary Update, pero las nuevas medidas de mitigación impiden la explotación de este último. Los mismos ataques también aprovechan una vulnerabilidad en Flash Player que Adobe corrigió el 26 de octubre.

Esta no es la única vulnerabilidad de día cero remendada por Microsoft el martes. El boletín de seguridad critico MS16-132 aborda varios problemas relacionados con Windows Media Foundation, el Administrador de animaciones de Windows y las fuentes OpenType, incluida una vulnerabilidad de ejecución remota en el código (CVE-2016-7256) causada debido a la forma en que la biblioteca de fuentes de Windows maneja Fuentes incrustadas.

La vulnerabilidad se ha explotado en estado salvaje, pero Microsoft no ha compartido ningún detalle sobre estos ataques. La empresa dijo que la falla puede ser explotada a través de sitios web o documentos especialmente diseñados para que las víctimas deban abrir un archivo para desencadenar el exploit.

Microsoft también corrigió un par de vulnerabilidades que no han sido explotadas en estado salvaje pero para las cuales ya hay exploits disponibles públicamente. Esto incluye una vulnerabilidad de divulgación en la información del navegador (CVE-2016-7199) y una falla de borde spoofing (CVE-2016-7209), ambas reparadas con MS16-129.

Otros boletines de seguridad críticos resuelven varias vulnerabilidades de Windows, incluidas las que afectan el controlador de vídeo, el Editor de métodos de entrada (IME) y el programador de tareas. Los boletines señalados como importantes corrigen errores de seguridad en el controlador d disco virtual de Windows, SQL Server, métodos de autenticación de Windows, el núcleo de Windows, el arranque seguro, el controlador del sistema de archivos de registro común de Windows (CLFS) y Office.

Adobe también ha publicado actualizaciones de seguridad este martes de parches. La empresa abordó una vulnerabilidad en Connect for Windows y nueve errores de ejecución de código arbitrario en Flash Player. Los problemas de Flash Player también se han reparado en Internet Explorer y Edge con el boletín crítico MS16-141.

Fuente: Security Week