Microsoft lanzó hoy sus actualizaciones de seguridad Patch Tuesday de octubre de 2019 para corregir un total de 59 vulnerabilidades en los sistemas operativos Windows y el software relacionado, 9 de las cuales están calificadas como críticas, 49 son importantes y una es de gravedad moderada.
Lo bueno de la actualización del parche de este mes es que, después de mucho tiempo, ninguna de las vulnerabilidades de seguridad parcheadas por el gigante tecnológico este mes aparece como conocida públicamente o bajo ataque activo.
Además, no hay un parche acumulativo para Adobe Flash Player incluido en la actualización de Windows para este mes.
Además de esto, Microsoft también ha puesto un aviso como recordatorio para los usuarios de Windows 7 y Windows Server 2008 R2, advirtiéndoles que el soporte extendido para estos dos sistemas operativos está a punto de finalizar en los próximos dos meses y que ya no recibirán actualizaciones al 14 de enero de 2020.
Dos de las vulnerabilidades críticas parcheadas este mes son fallas de ejecución remota de código en el motor VBScript, y ambas existen en la forma en que VBScript maneja los objetos en la memoria, lo que permite a los atacantes corromper la memoria y ejecutar código arbitrario en el contexto del usuario actual.
Estas dos vulnerabilidades, rastreadas como CVE-2019-1238 y CVE-2019-1239, se pueden explotar de forma remota engañando a las víctimas para que visiten un sitio web especialmente diseñado a través de Internet Explorer.
Un atacante también puede explotar estos problemas utilizando una aplicación o un documento de Microsoft Office incrustando un control ActiveX marcado como «seguro para la inicialización» que utiliza el motor de representación de Internet Explorer.
Al igual que en los últimos meses, Microsoft ha parcheado otro ataque RDP inverso, donde los atacantes pueden tomar el control de las computadoras cliente que se conectan a un servidor RDP malicioso al explotar una vulnerabilidad crítica de ejecución remota de código en la aplicación de cliente de escritorio remoto integrada de Windows.
A diferencia de la vulnerabilidad BlueKeep, que se puede usar como gusano, la vulnerabilidad RDP recientemente parcheada es del lado del cliente, lo que requiere que un atacante engañe a las víctimas para que se conecten a un servidor RDP malicioso mediante ingeniería social, envenenamiento de DNS o el uso de una técnica Man in the Middle (MITM).
Tres vulnerabilidades críticas de RCE son fallas de corrupción de memoria que residen en la forma en que el motor de secuencias de comandos de Chakra maneja los objetos en la memoria en Microsoft Edge, una falla crítica de RCE es un problema de elevación de privilegios que existe cuando Azure App Service en Azure Stack no puede verificar la longitud de un búfer antes de copiar la memoria en él.
Otras vulnerabilidades parcheadas por Microsoft este mes y marcadas como importantes residen en los siguientes productos y servicios de Microsoft:
- Microsoft Windows
- explorador de Internet
- Borde de Microsoft
- ChakraCore
- Microsoft Office, servicios de oficina y aplicaciones web
- Estudio de administración de SQL Server
- Software de código abierto
- Microsoft Dinámico 365
- Asistente de actualización de Windows
La mayoría de estas vulnerabilidades permiten la elevación de privilegios, y algunas también conducen a ataques de ejecución remota de código, mientras que otras permiten la divulgación de información, secuencias de comandos entre sitios (XSS), omisión de funciones de seguridad, suplantación de identidad, manipulación y ataques de denegación de servicio.
Se recomienda encarecidamente a los usuarios de Windows y a los administradores de sistemas que apliquen los últimos parches de seguridad lo antes posible en un intento de evitar que los ciberdelincuentes y los piratas informáticos tomen el control de sus computadoras.
Para instalar las últimas actualizaciones de seguridad de Windows, puede dirigirse a Configuración → Actualización y seguridad → Actualización de Windows → Buscar actualizaciones en su PC, o puede instalar las actualizaciones manualmente.