La vulnerabilidad permite que un atacante ejecute código en el equipo de la víctima simplemente cuando visita una página web maliciosa o si abre un documento de Office especialmente manipulado.

«Un atacante que aproveche con éxito la vulnerabilidad podría obtener los mismos privilegios que el usuario actual. Si el este está conectado con derechos administrativos, el atacante podría tomar el control de un sistema afectado», escribió Microsoft en su aviso.

En un escenario de ataque con documentos de Office, un atacante podría incorporar un control ActiveX marcado como «seguro para la inicialización» en un documento de Office. Si se abre, el documento podría dirigir al usuario a un sitio dañino especialmente diseñado que para explotar la vulnerabilidad.

Según la Iniciativa Zero Day (ZDI) de Trend Micro, varios grupos de amenazas podrían comenzar a explotar el 0-Day CVE-2019-1429 ahora que se ha lanzado el parche y que es posible realizar una ingeniería inversa de la solución.

Microsoft también abordó una vulnerabilidad de ejecución remota de código, rastreada como CVE-2019-1373, en Microsoft Exchange. La vulnerabilidad reside en la deserialización de metadatos a través de PowerShell. Un atacante podría aprovechar esta vulnerabilidad engañando a las víctimas para que ejecuten cmdlets a través de PowerShell.

Este martes Microsoft solucionó otros errores críticos e importantes adicionales. En total, emitió 75 CVE: 11 críticas y 64 importantes. Los 10 errores críticos adicionales incluyen (CVE-2019-1457), un bypass de la función de seguridad de Excel que se divulgó públicamente a fines de octubre y se explotó como 0-Day.

«Este es un error de control de la función de seguridad en Microsoft Office para Mac debido a la aplicación inadecuada de la configuración de macros en documentos de Excel. Un atacante necesitaría crear un documento Excel especialmente diseñado utilizando el formato de archivo SYLK (SYmbolic LinK), y convencer a un usuario para que abra dicho archivo, utilizando una versión vulnerable de Microsoft Office para Mac», explicó Satnam Narang, ingeniero de investigación senior en Tenable.

A principios de este mes, Microsoft advirtió que los archivos SYLK maliciosos que funcionan incluso cuando la función «deshabilitar todas las macros sin notificación» está activada. Esto deja a los sistemas vulnerables a atacantes remotos no autenticados que pueden ejecutar código arbitrario. «Las macros XLM se pueden incorporar a los archivos SYLK. Las macros en el formato SYLK son problemáticas porque Microsoft Office no se abre con vista protegida para ayudar a proteger a los usuarios», escribió el CERT en una advertencia a principios de este mes.

Los avisos de también incluyeron actualizaciones que no tienen CVE, como una relacionada con una vulnerabilidad en el conjunto de chips Trusted Platform Module (TPM). Esta vulnerabilidad es un error de un tercero que no está conectado al sistema operativo Windows.

«Actualmente, ningún sistema de Windows utiliza este algoritmo vulnerable. La vulnerabilidad debilita la protección de confidencialidad clave para el algoritmo de firma digital de curva elíptica o ECDSA. La tecnología se utiliza para una variedad de aplicaciones diferentes, como una aplicación relacionada con Bitcoin, donde se aprovecha para garantizar que los fondos solo puedan ser gastados por sus legítimos propietarios», escribió Microsoft en su aviso ADV190024.

Chris Goettl, investigador de Ivanti, dijo que este parche debe servir como recordatorio de una serie de fechas clave de finalización de la vida de Windows. Hay detalles adicionales sobre el soporte extendido para Windows 7 y Server 2008/R2 en una publicación que discute cómo obtener acceso y garantizar que sus sistemas estén preparados para un soporte extendido.

Fuente: Blackhatethicalhacking

Compartir