El Martes de Parches de noviembre soluciona 112 vulnerabilidades, incluida una que ya está siendo explotada

ActualidadActualizacionMicrosoft

Ya tenemos el undécimo Martes de Parches de 2020, con 112 nuevas actualizaciones, de las cuales 18 han sido clasificadas como críticas por Microsoft, y otras 92 marcadas como importantes. Y una de las soluciones críticas es para una vulnerabilidad que, según se informa, ya ha sido utilizada por un exploit “in the wild”.

CVE-2020-17087, una vulnerabilidad de elevación de privilegios local del kernel de Windows, fue reportada públicamente por primera vez por Project Zero de Google en octubre después del descubrimiento de exploits activos. La vulnerabilidad está en el controlador criptografico del kernel de Windows (cng.sys).

Un error en una de las funciones del controlador (CfgAdtpFormatProperty) hace que sea vulnerable a un ataque de desbordamiento del búfer que daña la memoria en el kernel pool. Podría usarse para escapar de la sandbox u otros fines de escalada de privilegios mediante código malicioso. Project Zero hizo público el informe de error y una prueba de concepto para su explotación el 30 de octubre, solo siete días después de su descubrimiento, debido a la evidencia de que ya se estaba utilizando en ataques dirigidos.

Sin embargo, el error de corrupción de la memoria del kernel solo está clasificado como “importante” por Microsoft, a pesar de su explotación activa. Algunos de los otros errores son un peligro más claro y presente para los usuarios de Windows.

Errores en el navegador

Dos de las vulnerabilidades de mayor preocupación están vinculadas a los navegadores Internet Explorer y Edge de Microsoft. Si bien Internet Explorer puede estar disminuyendo en su uso, Windows todavía usa algunos de sus componentes por lo que aún son vulnerables a estos ataques.

Las vulnerabilidades críticas en cuestión están relacionadas con la corrupción de la memoria: CVE-2020-17053 (en un componente de Internet Explorer) y CVE-2020-17048 (en Chakra Scripting Engine, parte del navegador Edge). El error del componente de Internet Explorer es una vulnerabilidad de desreferencia arbitraria del puntero, mientras que el error del motor Chakra Scripting es una vulnerabilidad de memoria de “use after free” en el componente JScript9. Es probable que estas dos vulnerabilidades sean explotadas y podrían usarse para ejecutar de forma remota código arbitrario.

Azure Sphere

La mayor fuente de errores de este mes es Azure Sphere, que tiene 15 vulnerabilidades reveladas, dos de ellas críticas. Estas incluyen seis vulnerabilidades de ejecución de código sin firmar distintas, que permiten la ejecución remota de código (una, CVE-2020-16982, fue calificada como crítica) y cinco vulnerabilidades de elevación de privilegios (con CVE-2020-16988 calificada como crítica).

Las vulnerabilidades restantes en Azure Sphere se califican como “importantes”:

CVE NOMBRE
CVE-2020-16986 Azure Sphere Denial of Service Vulnerability
CVE-2020-16981 Azure Sphere Elevation of Privilege Vulnerability
CVE-2020-16989 Azure Sphere Elevation of Privilege Vulnerability
CVE-2020-16992 Azure Sphere Elevation of Privilege Vulnerability
CVE-2020-16993 Azure Sphere Elevation of Privilege Vulnerability
CVE-2020-16985 Azure Sphere Information Disclosure Vulnerability
CVE-2020-16990 Azure Sphere Information Disclosure Vulnerability
CVE-2020-16983 Azure Sphere Tampering Vulnerability
CVE-2020-16970 Azure Sphere Unsigned Code Execution Vulnerability
CVE-2020-16984 Azure Sphere Unsigned Code Execution Vulnerability
CVE-2020-16987 Azure Sphere Unsigned Code Execution Vulnerability
CVE-2020-16991 Azure Sphere Unsigned Code Execution Vulnerability
CVE-2020-16994 Azure Sphere Unsigned Code Execution Vulnerability

 

Otra vulnerabilidad relacionada con Azure, CVE-2020-1325, es una vulnerabilidad de suplantación en Azure DevOps Server y Team Foundation Services. No se proporcionaron detalles sobre este error.

 

Sistema de archivos de red

No mucha gente usa Network File System (NFS) fuera de las organizaciones que necesitan compatibilidad entre Windows, Linux y Unix para compartir archivos. Las más preocupantes son CVE-2020-17051 y CVE-2020-17056, dos vulnerabilidades importantes que afectan al servicio NFS para Windows Server. Cuando se combinan, podrían conducir a una ruta muy confiable para la explotación contra las últimas versiones de Windows Server, incluidas 2016 y 2019.

CVE-2020-17051 es un desbordamiento de pila en el controlador NFS (nfssvr.sys), que afecta a todas las versiones de Windows Server. Aunque esta vulnerabilidad crítica se puede activar de forma remota y es probable que se pueda explotar, requiere acceso de escritura a un directorio para crear un enlace simbólico. Al falsificar un mensaje NFS específico, el atacante controla completamente el tamaño del búfer que se utilizará al copiar datos a un fragmento de pila con tamaño fijo (por ejemplo, como con el código “memcpy ($ kernel_address, $ control_content, $ control_size) ”). Si bien esto requiere una configuración de pila previa (o “feng-shui de pila“), podría permitir que un atacante sobrescriba un fragmento de pila siguiente. Sobrescribir punteros de función conduciría a la ejecución del código.

CVE-2020-17056 es una lectura fuera del límite en el mismo controlador (nfssvr.sys). Aunque dicha vulnerabilidad también puede causar una “pantalla azul de la muerte” en el objetivo remoto, su uso más valioso sería aprovecharla para filtrar datos del kernel por parte del atacante y, por lo tanto, romper la distribución aleatoria del espacio de direcciones del kernel (kASLR). Por lo tanto, es un objetivo perfecto para combinar con CVE-2020-17051 para lograr una ejecución de código estable.

Dado que NFS no está instalado de forma predeterminada, la mayoría de los usuarios de Windows Server no se verán afectados por estos errores. Para aquellos que lo están, la mejor mitigación a corto plazo es deshabilitar NFS, pero el parche es esencial para aquellos que necesitan NFS para los servicios de archivos.

Otras “críticas”

Los errores restantes más graves corregidos son todas vulnerabilidades de ejecución de código remoto. Entre ellos se encuentran errores en el administrador de trabajos de impresión de Microsoft Windows, el motor de secuencias de comandos y varias extensiones de archivos de video e imagen:

CVE Nombre
CVE-2020-17105 AV1 Video Extension Remote Code Execution Vulnerability
CVE-2020-17101 HEIF Image Extensions Remote Code Execution Vulnerability
CVE-2020-17106 HEVC Video Extensions Remote Code Execution Vulnerability
CVE-2020-17107 HEVC Video Extensions Remote Code Execution Vulnerability
CVE-2020-17108 HEVC Video Extensions Remote Code Execution Vulnerability
CVE-2020-17109 HEVC Video Extensions Remote Code Execution Vulnerability
CVE-2020-17110 HEVC Video Extensions Remote Code Execution Vulnerability
CVE-2020-17058 Microsoft Browser Memory Corruption Vulnerability
CVE-2020-17078 Microsoft Raw Image Extension Remote Code Execution Vulnerability
CVE-2020-17079 Microsoft Raw Image Extension Remote Code Execution Vulnerability
CVE-2020-17082 Microsoft Raw Image Extension Remote Code Execution Vulnerability
CVE-2020-17052 Scripting Engine Memory Corruption Vulnerability
CVE-2020-17042 Windows Print Spooler Remote Code Execution Vulnerability

 

[IMAGEN: PTNov2020-breakdown.png]

[PIE: Desglose de las vulnerabilidades abordadas en las actualizaciones del martes de parches de noviembre de 2020: haz clic para ver el gráfico de tamaño completo.]

Más razones para parchear

También es de destacar una vulnerabilidad en la implementación de Microsoft del protocolo de autenticación de red Kerberos (CVE-2020-17049). Estos errores se informan como vulnerabilidades de omisión de funciones de seguridad. No se proporcionaron detalles.

Entre las vulnerabilidades  en las que se proporcionaron pruebas de concepto estaban CVE-2020-16998, una vulnerabilidad de elevación de privilegios de DirectX, calificada como importante. El error es otra vulnerabilidad de corrupción de memoria “use after free”, en el controlador DirectX dxgmms2.sys. Aunque parece probable que se aproveche este error, no se considera un riesgo para la ejecución remota de código; su único uso viable parece ser únicamente para la escalada de privilegios o la evasión de la sandbox.

También hay tres vulnerabilidades distintas de elevación de privilegios en el subsistema del kernel de 32 bits de Windows (Win32k): CVE-2020-17010, CVE-2020-17038 y CVE-2020-17057. Los tres errores parcheados son vulnerabilidades “use-after-free” que solo requieren privilegios bajos para ser explotados, lo que da como resultado un acceso a nivel del sistema si se tiene éxito.

Sharepoint tiene un total de siete vulnerabilidades parcheadas este mes, incluido un error de ejecución de código remoto. CVE-2020-17061 es una vulnerabilidad de deserialización y es probable que se explote. Pero requiere autenticación de usuario, por lo que los atacantes tendrían que tener credenciales legítimas o robadas para aprovecharlo al máximo.

Protección de Sophos

A continuación, se incluye una lista de protección publicada por SophosLabs en respuesta a este aviso para complementar cualquier protección existente y mitigación de exploits genéricos:

CVE SAV IPS
CVE-2020-17087 Exp/202017087-A
CVE-2020-17052 Exp/202017052-A SID:2304462
CVE-2020-17053 Exp/202017053-A SID:2304463
CVE-2020-17051 SID:2304505
CVE-2020-17056 SID:2304507

 

Sophos tiene como objetivo agregar detecciones para problemas críticos, según el tipo y la naturaleza de las vulnerabilidades, lo antes posible y cuando se nos haya brindado información suficiente para poder hacerlo. En muchos casos, las detecciones existentes en productos de protección Endpoint como Intercept X detectarán y bloquearán los intentos de explotación sin necesidad de actualizaciones.

Leave a Reply

Your email address will not be published.