No es un martes de parches, pero Microsoft está implementando parches de seguridad fuera de banda de emergencia para dos nuevas vulnerabilidades, una de las cuales es un día cero crítico de Internet Explorer que los ciberdelincuentes están explotando activamente en la naturaleza.
Descubierto por Clément Lecigne del Threat Analysis Group de Google y rastreado como CVE-2019-1367, IE zero-day es una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos de Microsoft maneja los objetos en la memoria en Internet Explorer.
La vulnerabilidad es un problema de corrupción de la memoria que podría permitir a un atacante remoto secuestrar una PC con Windows simplemente convenciendo al usuario de que vea una página web especialmente diseñada y con trampas explosivas alojada en línea, cuando usa Internet Explorer.
«Un atacante que explotara con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativo, un atacante que explotara con éxito la vulnerabilidad podría tomar el control de un sistema afectado», dice Microsoft en su asesoramiento.
La vulnerabilidad afecta a las versiones 9, 10 y 11 de Internet Explorer y, aunque los usuarios siempre deben implementar actualizaciones para cada software instalado cuando estén disponibles, se recomienda encarecidamente utilizar navegadores web alternativos más seguros como Google Chrome o Mozilla Firefox.
Microsoft dijo que esta vulnerabilidad está siendo explotada activamente por los atacantes, pero no reveló más detalles sobre la campaña de explotación.
Google también detectó recientemente una campaña generalizada de piratería de iPhone que se dirigió indiscriminadamente a los usuarios durante más de dos años, pero Apple acusó a la empresa de tecnología de crear una falsa impresión de «explotación masiva».
Microsoft también lanzó una segunda actualización de seguridad fuera de banda para parchear una vulnerabilidad de denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que se incluye con Windows 8 y versiones posteriores del sistema operativo Windows.
Descubierta por Charalampos Billinis de F-Secure y Wenxu Wu de Tencent Security Lab y rastreada como CVE-2019-1255, la vulnerabilidad reside en la forma en que Microsoft Defender maneja los archivos y existe en las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.
Según un aviso publicado por Microsoft, un atacante podría explotar esta vulnerabilidad «para evitar que las cuentas legítimas ejecuten binarios legítimos del sistema», pero para aprovechar esta falla, el atacante «primero requeriría la ejecución en el sistema de la víctima».
La actualización de seguridad para Microsoft Defender es automática y, por lo tanto, se aplicará automáticamente a través del motor de protección contra malware de Microsoft en las próximas 48 horas. La falla se solucionó en Microsoft Malware Protection Engine versión 1.1.16400.2.
Dado que ambas actualizaciones de seguridad son parte de las actualizaciones de emergencia de Microsoft y una de las cuales incluso aborda la falla que se está explotando en este momento, se recomienda a los usuarios que las implementen lo antes posible.
