Microsoft ha abordado 77 vulnerabilidades en su actualización del martes del parche de julio, 15 de ellas calificadas como críticas y dos están bajo explotación activa.
Once de los errores críticos son para los motores de secuencias de comandos y los navegadores, y los otros cuatro afectan al servidor DHCP, GDI +, .NET Framework y Azure DevOps Server / Team Foundation Server.
«Los parches del motor de secuencias de comandos, el navegador, GDI + y .NET Framework deben tener prioridad para los dispositivos tipo estación de trabajo, es decir, cualquier sistema que se use para correo electrónico o para acceder a Internet a través de un navegador», según los comentarios de Patch Tuesday de Qualys. «Esto incluye servidores multiusuario que se utilizan como escritorios remotos para los usuarios».
El Microsoft ChakraCore Scripting Engine, Internet Explorer 11 y Microsoft Edge tienen una vulnerabilidad de corrupción de memoria en su motor de scripting ( CVE-2019-1001 ) que podría llevar a RCE.
«La vulnerabilidad existe en la forma en que la memoria maneja los objetos en la memoria y la explotación exitosa podría permitir que un atacante ejecute código arbitrario», dijo Allan Liska, analista de inteligencia de Recorded Future, a través del correo electrónico. «En este punto, casi se espera encontrar una vulnerabilidad de corrupción de memoria en los navegadores de Microsoft del motor de secuencias de comandos, ya que sigue siendo un objetivo primordial para los atacantes que arman estas vulnerabilidades rápidamente».
En el lado del servidor, el error del servidor DHCP ( CVE-2019-0785 ) es una falla de ejecución remota de código (RCE) que existe cuando el servidor está configurado para la conmutación por error; un atacante con acceso de red al servidor DHCP de conmutación por error podría ejecutar un código arbitrario. Afecta a todas las versiones de Windows Server desde 2012 hasta 2019. Una vulnerabilidad muy similar, CVE-2019-0725, fue reparada en mayo .
«Una de las vulnerabilidades más críticas de este mes está en el servidor DHCP de Microsoft», dijo Liska. «Esta vulnerabilidad de corrupción de memoria … permite que un atacante envíe un paquete especialmente diseñado a un servidor DHCP y, si tiene éxito en la explotación, ejecute código arbitrario».
Y, finalmente, el servidor DevOps de Azure / Server Foundation Server y los servidores de creación de equipos (TFS) de Azure se ven afectados por una vulnerabilidad de RCE ( CVE-2019-1072 ) que puede ser explotada a través de cargas de archivos maliciosos.
«Cualquier persona que pueda cargar un archivo puede ejecutar código en el contexto de la cuenta de DevOps/TFS de Azure», según Qualys. “Esto incluye usuarios anónimos si el servidor está configurado para permitirlo. Este parche debe tener prioridad para cualquier instalación de DevOps o TFS de Azure «.
Liska, por su parte, señaló que las explotaciones exitosas de esta vulnerabilidad requieren que el proyecto objetivo permita el envío de archivos anónimos.
«Si un atacante presentara un archivo especialmente diseñado para el proyecto de destino como un usuario anónimo, podrían ejecutar código arbitrario en el servidor de destino», dijo. «Azure no ha sido un gran objetivo para la explotación en el pasado, pero esta es una vulnerabilidad que debería solucionarse rápidamente debido a la facilidad con que esta vulnerabilidad podría ser explotada a escala».
Microsoft con errores de escalamiento de privilegios activamente explotados
El gigante del software también lanzó parches de nivel importante para dos vulnerabilidades de escalamiento de privilegios en Win32k y splwow64, que se están explotando activamente en la naturaleza. Qualys dijo que los parches, aunque etiquetados como importantes, deberían ser priorizados ya que podrían estar encadenados con otras vulnerabilidades para proporcionar a un atacante un acceso completo al sistema. En otras palabras, una vez que han elevado su nivel de privilegio, los atacantes podrían aprovechar otra vulnerabilidad para permitir que ejecuten código.
La falla de Win32 ( CVE-2019-1132 ) afecta a Windows 7, Server 2008 y Server 2008 R2.
«Si bien un atacante tendría que obtener acceso al sistema para ejecutar el exploit, la vulnerabilidad de ser explotada permitiría al atacante tomar el control total del sistema», dijo Chris Goettl, director de gestión de productos para la seguridad de Ivanti, a través de correo electrónico.
Mientras tanto, el error en splwow64 ( CVE-2019-0880 ), que es el host del controlador de impresión para aplicaciones de 32 bits, permitiría a un atacante pasar de privilegios de baja a media integridad. Si el parche no se puede implementar de inmediato, se puede mitigar la vulnerabilidad al deshabilitar la cola de impresión. Afecta a Windows 8.1, Server 2012 y sistemas operativos posteriores.
Outlook, Linux SACK y avisos dignos de mención
Microsoft también publicó dos notables avisos, uno para Outlook en la web y otro para las vulnerabilidades conocidas del kernel de Linux que se revelaron en junio, junto con algunos otros parches que los administradores deberían priorizar, según los investigadores.
Una vulnerabilidad de secuencias de comandos entre sitios en Outlook en la web (antes OWA) permitiría a un atacante enviar un archivo SVG malicioso a un destino para poder explotarlo. Sin embargo, el éxito requiere que el usuario objetivo abra el archivo de imagen directamente arrastrándolo a una nueva pestaña o pegando la URL en una nueva pestaña.
«Si bien este es un escenario de ataque improbable, Microsoft recomienda bloquear las imágenes SVG», según Qualys.
Mientras tanto, se informaron varias vulnerabilidades de denegación de servicio (DoS) en junio para el kernel de Linux (CVE-2019-11477, CVE-2019-11478 y CVE-2019-11479). Se encontraron tres fallas relacionadas en el manejo del kernel de Linux de las redes TCP; los dos primeros están relacionados con los paquetes de Reconocimiento Selectivo de TCP (SACK) combinados con el parámetro Tamaño Máximo de Segmento, y el tercero únicamente con el parámetro Tamaño Máximo de Segmento. La vulnerabilidad más grave (CVE-2019-11477, apodada SACK Panic) afecta a los kernels de Linux 2.6.29 y versiones superiores. Podría permitir a un atacante remoto provocar un pánico en el kernel en los sistemas que ejecutan el software afectado y, como resultado, afectar la disponibilidad del sistema.
El aviso de Microsoft detalla el impacto de los errores del kernel en sus sistemas.
También es de destacar un parche para un defecto RCE de SQL Server ( CVE-2019-1068 ). Esta vulnerabilidad está clasificada como importante y requiere autenticación; sin embargo, también podría estar encadenada con inyección SQL para permitir que un atacante comprometa completamente el servidor, según Qualys, por lo que debe priorizarse.
Y, uno de los otros parches que los investigadores dicen que vale la pena destacar es CVE-2019-0887, una vulnerabilidad de nivel medio contra los Servicios de Escritorio Remoto (RDS) que fue revelada por Check Point el mes pasado. El error existe en cómo RDS maneja la redirección del portapapeles, de acuerdo con Liska. Requiere que un atacante tenga acceso a un servidor RDS; cuando una víctima se conecta a ese servidor, un atacante puede explotar la vulnerabilidad para ejecutar código arbitrario en el sistema de la víctima. El error afecta a todas las versiones de Windows de Windows 7 a 10 y de Windows Server 2008 a 2019.
Actualizacion de Adobe Patch Tuesday Tuesday
Mientras tanto, Adobe emitió parches para Bridge CC, Experience Manager y Dreamweaver. La aplicación Experience Manager está parchada para tres vulnerabilidades, mientras que Bridge y Dreamweaver tienen una.
Ninguno está etiquetado como crítico, y la vulnerabilidad con la calificación más alta para cada paquete de software está etiquetada como importante.
«Adobe lanzó tres parches para julio, pero sorprendentemente, ninguno es para Adobe Flash o Acrobat Reader», dijo Dustin Childs, investigador de Zero-Day Initiative (ZDI) de Trend Micro, en un blog. “En su lugar, un total de cinco CVE se tratan mediante correcciones para Adobe Bridge, Experience Manager y Dreamweaver. El CVE corregido por el parche de Bridge corrige un error de divulgación de información y se informó a través del programa ZDI. El parche de Experience Manager es el más grande este mes, con tres CVE referenciados. Todos son errores de validación de entrada. El parche para Dreamweaver corrige un solo problema de carga de DLL. Ninguno de estos errores se enumeran como públicamente conocidos o bajo ataque activo en el momento de la publicación «.