El primer boletín de seguridad para 2021 de Microsoft incluye correcciones para un error bajo ataque activo, posiblemente vinculado a los ataques masivos de SolarWinds. En esta actualización Microsoft abordó 10 errores críticos, uno con un exploit activo y otro conocido públicamente y, en total, se solucionan 83 vulnerabilidades.
El error más grave es una falla en el software anti-malware Defender de Microsoft que permite a atacantes remotos infectar sistemas específicos con código ejecutable. Los expertos en seguridad advierten que los usuarios de Windows que no se hayan conectado a Internet recientemente y hayan recibido una actualización automática, deberían aplicar un parche ahora.
«Es posible que este error en el motor de protección contra malware de Microsoft ya esté parcheado en su sistema, ya que el motor se actualiza automáticamente según sea necesario. Sin embargo, si sus sistemas no están conectados a Internet, deberá aplicar el parche manualmente», escribió Dustin Childs, gerente de seguridad de Zero Day Initiative (ZDI) de Trend Micro.
Los investigadores creen que la vulnerabilidad, rastreada como CVE-2021-1647, ha sido explotada durante los últimos tres meses y fue aprovechada por delincuentes informáticos como parte del ataque masivo a SolarWinds. Las versiones afectadas de Microsoft Malware Protection Engine van desde 1.1.17600.5 a 1.1.17700.4 que se ejecutan en Windows 10, Windows 7 y 2004 Windows Server, según el boletín de seguridad.
Microsoft parcheó una segunda vulnerabilidad, que los investigadores creen que también estaba siendo explotada activamente, rastreada como CVE-2021-1648. La falla se clasifica como un error de elevación de privilegios e impacta el proceso del controlador de impresión de Windows SPLWOW64.exe. El error fue descubierto por primera vez por Google y corregido. Pero ZDI cree que el parche fue insuficiente y abrió la puerta a más ataques. Childs dijo que ZDI redescubrió la falla por segunda vez, que Microsoft reparó nuevamente el martes.
Otros errores corregidos
Ocho errores adicionales calificados como críticos también fueron parte de las correcciones de vulnerabilidad del martes de Microsoft. Estos incluyeron un error de ejecución de código remoto en el navegador web Edge de Microsoft. La vulnerabilidad (CVE-2021-1705) está relacionada con la memoria y está ligada a la forma en que el navegador accede incorrectamente a los objetos en la memoria.
«La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener los mismos privilegios que el usuario actual», escribió Justin Knapp, gerente senior de marketing de productos de Automox, en un análisis preparado. «Si el usuario actual está conectado con derechos de administrador, un atacante podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con derechos de usuario completos. Un atacante podría alojar un sitio web especialmente diseñado para aprovechar la vulnerabilidad a través de Microsoft Edge y luego convencer a un usuario de que visite el sitio web».
Se vincularon errores críticos adicionales a la interfaz de dispositivo de gráficos de Windows (CVE-2021-1665), las extensiones de video HEVC (CVE-2020-1643) y el decodificador de video Microsoft DTV-DVD (CVE-2020-1668).
Otras cinco vulnerabilidades (CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667 y CVE-2021-1673) fueron errores de llamada de procedimiento remoto. Como sugiere el nombre, la vulnerabilidad existe en el proceso de autenticación de llamada a procedimiento remoto de Windows (RPC). Si se explota, un atacante podría obtener la elevación de privilegios, ejecutar una aplicación especialmente diseñada y tomar el control total del sistema objetivo.
«Con la violación de SolarWinds aún reciente de diciembre y el alcance del impacto creciendo día a día, existe una urgencia reafirmada para que las organizaciones implementen las mejores prácticas incluso para los hábitos de seguridad más básicos», escribió Knapp. «Ya sea parcheando vulnerabilidades de día cero dentro de una ventana de 24 horas o implementando protocolos de contraseñas fuertes, la necesidad de diligencia de seguridad nunca ha sido más evidente».