miércoles, 10 de mayo de 2017

Microsoft soluciona 56 vulnerabilidades, tres de ellas empleadas en ataques

Todo indica que el infierno de la Security Update Guide ha llegado para quedarse. En total este mes se han solucionado 56 vulnerabilidades, 15 de ellas críticas y las 41 restantes de carácter importante. Además se incluye la corrección de otras siete vulnerabilidades en Adobe Flash Player.

En esta ocasión la consulta a la Security Update Guide nos ofrece una larga lista con 997 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. Como ya comentamos la mejor forma de tratar de analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.

Con ello podemos establecer que se han corregido 56 vulnerabilidades junto con las siete correspondientes al boletín APSB17-15 de Adobe. Según la propia clasificación de Microsoft 15 de los problemas son críticos y 41 importantes.

La lista de productos afectados es:

  • Adobe Flash Player
  • Internet Explorer 9, 10 y 11
  • Microsoft Edge
  • Microsoft Office
  • Microsoft Project Server 2013
  • Microsoft SharePoint
  • Word Automation Services
  • Microsoft Word 2007
  • Skype for Business 2016
  • Windows 7, 8.1 y 10
  • Microsoft Business Productivity Servers 2010
  • Windows Server 2008, 2012 y 2016
  • Microsoft .NET Framework
Si pasamos a analizar las vulnerabilidades Microsoft destaca en una publicación en sus blogs el trabajo conjunto con ESET y FireEye en la corrección de tres vulnerabilidades (con CVE-2017-0261, CVE-2017-0262 y CVE-2017-0263) en el filtro EPS (Encapsulated PostScript) de Office empleadas en ataques. Tanto ESET como FireEye también han publicado completa y destacable información relativa a los ataques y vulnerabilidades empleadas. FireEye incluso señala la vinculación de estos ataques con grupos rusos de espionaje informático.

Estos ataques utilizaban documentos Word específicamente construidos para engañar a los objetivos a través de correos de phishing cuidadosamente diseñados para una audiencia muy selecta. Ambos ataques se componían de varias vulnerabilidades, entre ellas una ejecución remota de código en el filtro Encapsulated PostScript (EPS) de Office y una elevación de privilegios en Windows para escapar de las protecciones de la sandbox de Office.

Los archivos EPS son un formato heredado que ha caído en desuso en el ecosistema actual. Por esa razón, en abril de 2017, Microsoft publicó una actualización que desactivaba por defecto el filtro EPS en Office. Por ello, los usuarios que instalaron la actualización acumulativa para Office del mes pasado no se ven afectados por este tipo de ataques. 

También se incluye dentro del paquete de actualizaciones la vulnerabilidad de ejecución remota de código en el motor de análisis de malware (CVE-2017-0290), que afecta a Windows Defender y otros productos de seguridad de Microsoft, que ya comentamos más ampliamente en la una-al-día de ayer.

Otras actualizaciones se desglosan en:

  • Actualización acumulativa para Internet Microsoft Explorer y Edge, considerada crítica y que evita 18 vulnerabilidades, 11 de ellas consideradas críticas.
  • Actualización acumulativa para Microsoft Office, que soluciona siete vulnerabilidades una de ellas crítica.
  • Actualización acumulativa para Microsoft .NET Framework, destinada a corregir una vulnerabilidad importante.
  • Actualización acumulativa para Microsoft Windows Hyper-V, que corrige una elevación de privilegios (importante).
  • Actualización acumulativa para Microsoft Windows SMB, para solucionar 14 vulnerabilidades, cuatro de ellas críticas.
  • Actualización acumulativa para Microsoft Windows, para evitar 15 vulnerabilidades entre las que se incluye la vulnerabilidad en el motor de análisis de malware.
  • Actualización para Adobe Flash Player, la también habitual actualización para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. En esta ocasión soluciona siete vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-15 de Adobe (y que comentaremos con más detalle en una próxima una-al-día). 
Más información:

Security Update Guide
https://portal.msrc.microsoft.com/en-us/security-guidance

May 2017 Security Updates
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99

Microsoft Patch Tuesday – May 2017
https://www.symantec.com/connect/blogs/microsoft-patch-tuesday-may-2017

Coming together to address Encapsulated PostScript (EPS) attacks
https://blogs.technet.microsoft.com/msrc/2017/05/09/coming-together-to-address-encapsulated-postscript-eps-attacks/

Sednit adds two zero-day exploits using ‘Trump’s attack on Syria’ as a decoy
https://www.welivesecurity.com/2017/05/09/sednit-adds-two-zero-day-exploits-using-trumps-attack-syria-decoy/

EPS Processing Zero-Days Exploited by Multiple Threat Actors
https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

CVE-2017-0290 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0290

una-al-dia (09/05/2017) Actualización urgente para el motor de análisis de malware de Microsoft
http://unaaldia.hispasec.com/2017/05/actualizacion-fuera-de-ciclo-para-el.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017